Новата платформа на МОН „Посещаемо и безопасно училище“ показа личните данни на 1,2 милиона български деца

Публикувана на: 10.10.2017
Кoментари:0

Сигнал на читател доведе до спиране на сериозен теч от сървър на Министерството на образованието. Проверка на "Биволъ" установи, че личните данни на над 1,2 милиона български деца, са били в продължение на дълъг период от време достъпни без идентификация за всеки, който е знаел интернет адреса. Технически не е било проблем да се източат имената, възрастта, точните адреси и посещаваните училища за всички български деца.

Става дума за вътрешна страница на сайта http://back2school.mon.bg/ в платформата „Посещаемо и безопасно училище“. Тя беше представена от МОН като средство за борба с отпадането от училище. Проектът се реализира след решението на Министерски съвет от 5 юли 2017 г. за създаване на Механизъм за съвместна работа на институциите по обхващане и задържане в образователната система на деца и ученици в задължителната училищна и предучилищна възраст.

В съобщението на МОН за платформата се казва, че: „В системата ще бъдат включени всички данни, необходими за откриване и обхващане на подрастващите в образователната система, както и действията, които предприемат представителите на различни институции, за да помогнат конкретно на всяко дете да се образова възможно по-дълго време.“

„До платформата, чрез сайтовете на двете институции, ще имат достъп само оторизирани лица“ – уверяваха още от министерството.

Безопасността на сайта обаче е под всякаква критика, както се вижда още от страницата за идентификация, която не е защитена с криптиращ протокол и паролите могат да бъдат прочетени от всеки злонамерен хакер. Компрометирането на потребителските имена и пароли би довело до пълен достъп до системата от лица, които не би трябвало да имат такъв.

Има обаче и по-лоша новина. На вече затворената (след сигнал от Биволъ) страница http://back2school.mon.bg/StudentForm.aspx?Entity=1000000 се виждаха пълните данни на дете: три имена, възраст, настоящ и постоянен адрес, ако детето посещава училище – кое е то. При промяна на номера в Entity излизаха данни на друго дете и т.н.

Свободният достъп до тази информация, без логин и парола, както и поредните вътрешни номера в системата са изключително вредна и опасна практика. Много лесно може да се напише проста програма, който да събере данните за всички деца в системата. Така всеки с малко повече познания за интернет може да получи данните на всички български деца, да ги зареди в база данни и да си избира деца по град, възраст, име и т.н.

Лесно можем да си представим какво може да се случи, ако тези данни попаднат при някой педофил или групи по отвличания. Например, елементарно е да се проследят децата на влиятелни бизнесмени.

Всичко това изисква незабавна намеса на ДАНС, която да провери журналите на сървърите за следи от масово източване на данни. 1,2 милиона  – това е реален пробив в националната сигурност. Крайно време е също така да се обърне внимание на информационната защита на институциите, боравещи с огромни масиви лични данни на населението, както и да се въведат механизми, изключващи опасната самодейност поне на техническо и административно ниво.

Източник: bivol.bg


Коментари 0

Влез за да коментираш

Коментари във Facebook

Търси в Teacher.bg