Сигнал на читател доведе до спиране на сериозен теч от сървър на Министерството на образованието. Проверка на „Биволъ“ установи, че личните данни на над 1,2 милиона български деца, са били в продължение на дълъг период от време достъпни без идентификация за всеки, който е знаел интернет адреса. Технически не е било проблем да се източат имената, възрастта, точните адреси и посещаваните училища за всички български деца.
Става дума за вътрешна страница на сайта http://back2school.mon.bg/ в платформата „Посещаемо и безопасно училище“. Тя беше представена от МОН като средство за борба с отпадането от училище. Проектът се реализира след решението на Министерски съвет от 5 юли 2017 г. за създаване на Механизъм за съвместна работа на институциите по обхващане и задържане в образователната система на деца и ученици в задължителната училищна и предучилищна възраст.
В съобщението на МОН за платформата се казва, че: „В системата ще бъдат включени всички данни, необходими за откриване и обхващане на подрастващите в образователната система, както и действията, които предприемат представителите на различни институции, за да помогнат конкретно на всяко дете да се образова възможно по-дълго време.“
„До платформата, чрез сайтовете на двете институции, ще имат достъп само оторизирани лица“ – уверяваха още от министерството.
Безопасността на сайта обаче е под всякаква критика, както се вижда още от страницата за идентификация, която не е защитена с криптиращ протокол и паролите могат да бъдат прочетени от всеки злонамерен хакер. Компрометирането на потребителските имена и пароли би довело до пълен достъп до системата от лица, които не би трябвало да имат такъв.
Има обаче и по-лоша новина. На вече затворената (след сигнал от Биволъ) страница http://back2school.mon.bg/StudentForm.aspx?Entity=1000000 се виждаха пълните данни на дете: три имена, възраст, настоящ и постоянен адрес, ако детето посещава училище – кое е то. При промяна на номера в Entity излизаха данни на друго дете и т.н.
Свободният достъп до тази информация, без логин и парола, както и поредните вътрешни номера в системата са изключително вредна и опасна практика. Много лесно може да се напише проста програма, който да събере данните за всички деца в системата. Така всеки с малко повече познания за интернет може да получи данните на всички български деца, да ги зареди в база данни и да си избира деца по град, възраст, име и т.н.
Лесно можем да си представим какво може да се случи, ако тези данни попаднат при някой педофил или групи по отвличания. Например, елементарно е да се проследят децата на влиятелни бизнесмени.
Всичко това изисква незабавна намеса на ДАНС, която да провери журналите на сървърите за следи от масово източване на данни. 1,2 милиона – това е реален пробив в националната сигурност. Крайно време е също така да се обърне внимание на информационната защита на институциите, боравещи с огромни масиви лични данни на населението, както и да се въведат механизми, изключващи опасната самодейност поне на техническо и административно ниво.
Източник: bivol.bg