Става дума за интернет платформа «Посещаемо и безопасно уилище» на МОН
За сериозен теч на лична информация и то на български деца алармира сайтът Бивол. Според пубкликацията там личните данни на над 1,2 милиона български деца, са били в продължение на дълъг период от време достъпни без идентификация за всеки, който е знаел интернет адреса. Технически не е било проблем да се източат имената, възрастта, точните адреси и посещаваните училища за всички български деца.
Става дума за вътрешна страница на сайта http://back2school.mon.bg/ в платформата „Посещаемо и безопасно училище“. Тя беше представена от МОН като средство за борба с отпадането от училище. Проектът се реализира след решението на Министерски съвет от 5 юли 2017 г. за създаване на Механизъм за съвместна работа на институциите по обхващане и задържане в образователната система на деца и ученици в задължителната училищна и предучилищна възраст.
Главен трубадур и пиар на новата система е зам.-министърката на образованието Деница Сачева, пише Бивол. Тя изгря в политиката като водач на листата на ДСБ в Хасково, след което за два мандата „Борисов“ прехвърча през здравното, социалното, та до образователното министерство.
В съобщението на МОН за платформата се казва, че: „В системата ще бъдат включени всички данни, необходими за откриване и обхващане на подрастващите в образователната система, както и действията, които предприемат представителите на различни институции, за да помогнат конкретно на всяко дете да се образова възможно по-дълго време.“
„До платформата, чрез сайтовете на двете институции, ще имат достъп само оторизирани лица“ – уверяваха още от министерството.
Безопасността на сайта обаче е под всякаква критика, както се вижда още от страницата за идентификация, която не е защитена с криптиращ протокол (б.ред. след публикацията ни беше въведена защита) и паролите могат да бъдат прочетени от всеки злонамерен хакер. Компрометирането на потребителските имена и пароли би довело до пълен достъп до системата от лица, които не би трябвало да имат такъв.
Има обаче и по-лоша новина. На вече затворената (след сигнал от Биволъ)
страница http://back2school.mon.bg/StudentForm.aspx?Entity=1000000 се виждаха пълните данни на дете: три имена, възраст, настоящ и постоянен адрес, ако детето посещава училище – кое е то. При промяна на номера в Entity излизаха данни на друго дете и т.н.
Свободният достъп до тази информация, без логин и парола, както и поредните вътрешни номера в системата са изключително вредна и опасна практика. Много лесно може да се напише проста програма, който да събере данните за всички деца в системата. Така всеки с малко повече познания за интернет може да получи данните на всички български деца, да ги зареди в база данни и да си избира деца по град, възраст, име и т.н.
Лесно можем да си представим какво може да се случи, ако тези данни попаднат при някой педофил или групи по отвличания. Например, елементарно е да се проследят децата на влиятелни бизнесмени.
Всичко това изисква незабавна намеса на ДАНС, която да провери журналите на сървърите за следи от масово източване на данни. 1,2 милиона – това е реален пробив в националната сигурност. Крайно време е също така да се обърне внимание на информационната защита на институциите, боравещи с огромни масиви лични данни на населението, както и да се въведат механизми, изключващи опасната самодейност поне на техническо и административно ниво.
За рисковете от управленската некадърност и назначенията на пенкелер-калинки на отговорни постове техническо решение засега не е открито.
След публикацията МОН излезе с прессъобщение (засега налично само в социалната мрежа Фейсбук, в което се заявява, че няма пробив в системата за обхват на децата и свободен достъп до въвежданата информация. В него обаче се забелязват две взаимоизключващи се твърдения:
„Системата „Посещаемо и безопасно училище“ никога не е разполагала с данните на 1, 2 млн. деца“. – пишат от МОН и веднага след това:
„Няма външен достъп до ЕГН-та и други защитени данни на всички над 1 млн. деца, защото тази част от информацията никога не е била отваряна. Подадена от ГРАО в МОН тя беше използвана единствено за сравнение на наличните масиви на записани деца и съответно беше установена разлика от 206 378 деца и ученици.“
Дали системата е разполагала с милион или с милион и двеста милиона записа не променя общата картина и фактът, че беше налице пробив в сигуността.
Очевидно е, че базата на ГРАО е сравнявана с масива на МОН със записаните в училище деца, който съдържа съизмеримо количество записи. По официални данни броят на учениците у нас е около 700 000, но системата за обхват на децата трябва да разполага и с Също така липсата на достъп до ЕГН не е голямо успокоение, защото в извежданата на страница информация имаше три имена, пълен адрес до етаж и апартамент и евентуално учебно заведение, посещавано от детето. Тази комбинация дава уникална информация за всяко дете. Самият факт че беше възможен достъп без парола до формуляри с такива данни е скандален.
Проверката на Биволъ, удостоверена и от свидетели показа, че преди да бъде затворена системата реагираше на произволни номера на формуляри в диапазон от над 1 милион записа. Освен това извеждаше информация и за поредни номера, което е грубо нарушение на информационната сигурност.
В крайна сметка МОН успокоява, че към момента на изпращане на прессъобщението (няколко часа след нашия сигнал), пробивът вече е запушен.
Единственият външен сървър, използван временно за достъп на екипите за обхват, не съдържа ЕГН-та и други лични данни, защитен е със сертификати за сигурност и периодично сменя позицията си в интернет и кодовете на екипите, които имат достъп. – твърдят от Министерството на образованието.
данни за броя деца в предучилищна възраст, така че общия брой записи в тази система наближава милион.
Също така липсата на достъп до ЕГН не е голямо успокоение, защото в извежданата на страница информация имаше три имена, пълен адрес до етаж и апартамент и евентуално учебно заведение, посещавано от детето. Тази комбинация дава уникална информация за всяко дете. Самият факт че беше възможен достъп без парола до формуляри с такива данни е скандален.
Проверката на Биволъ, удостоверена и от свидетели показа, че преди да бъде затворена системата реагираше на произволни номера на формуляри в диапазон от над 1 милион записа. Освен това извеждаше информация и за поредни номера, което е грубо нарушение на информационната сигурност.
В крайна сметка МОН успокоява, че към момента на изпращане на прессъобщението (няколко часа след нашия сигнал), пробивът вече е запушен.
Единственият външен сървър, използван временно за достъп на екипите за обхват, не съдържа ЕГН-та и други лични данни, защитен е със сертификати за сигурност и периодично сменя позицията си в интернет и кодовете на екипите, които имат достъп. – твърдят от Министерството на образованието.