Сигнал на наш читател доведе до спиране на сериозен теч от сървър на Министерството на образованието. Проверка на Биволъ установи, че личните данни на над 1,2 милиона български деца, са били в продължение на дълъг период от време достъпни без идентификация за всеки, който е знаел интернет адреса. Технически не е било проблем да се източат имената, възрастта, точните адреси и посещаваните училища за всички български деца.

Става дума за вътрешна страница на сайта http://back2school.mon.bg/ в платформата “Посещаемо и безопасно училище”. Тя беше представена от МОН като средство за борба с отпадането от училище. Проектът се реализира след решението на Министерски съвет от 5 юли 2017 г. за създаване на Механизъм за съвместна работа на институциите по обхващане и задържане в образователната система на деца и ученици в задължителната училищна и предучилищна възраст.

Главен трубадур и пиар на новата система е зам.-министърката на образованието Деница Сачева. Тя изгря в политиката като водач на листата на ДСБ в Хасково, след което за два мандата “Борисов” прехвърча през здравното, социалното, та до образователното министерство.

В съобщението на МОН за платформата се казва, че: “В системата ще бъдат включени всички данни, необходими за откриване и обхващане на подрастващите в образователната система, както и действията, които предприемат представителите на различни институции, за да помогнат конкретно на всяко дете да се образова възможно по-дълго време.”

“До платформата, чрез сайтовете на двете институции, ще имат достъп само оторизирани лица” – уверяваха още от министерството.

Безопасността на сайта обаче е под всякаква критика, както се вижда още от страницата за идентификация, която не е защитена с криптиращ протокол (б.ред. след публикацията ни беше въведена защита) и паролите могат да бъдат прочетени от всеки злонамерен хакер. Компрометирането на потребителските имена и пароли би довело до пълен достъп до системата от лица, които не би трябвало да имат такъв.

Има обаче и по-лоша новина. На вече затворената (след сигнал от Биволъ) страница http://back2school.mon.bg/StudentForm.aspx?Entity=1000000 се виждаха пълните данни на дете: три имена, възраст, настоящ и постоянен адрес, ако детето посещава училище – кое е то. При промяна на номера в Entity излизаха данни на друго дете и т.н.

Свободният достъп до тази информация, без логин и парола, както и поредните вътрешни номера в системата са изключително вредна и опасна практика. Много лесно може да се напише проста програма, който да събере данните за всички деца в системата. Така всеки с малко повече познания за интернет може да получи данните на всички български деца, да ги зареди в база данни и да си избира деца по град, възраст, име и т.н.

Лесно можем да си представим какво може да се случи, ако тези данни попаднат при някой педофил или групи по отвличания. Например, елементарно е да се проследят децата на влиятелни бизнесмени.

Всичко това изисква незабавна намеса на ДАНС, която да провери журналите на сървърите за следи от масово източване на данни. 1,2 милиона – това е реален пробив в националната сигурност. Крайно време е също така да се обърне внимание на информационната защита на институциите, боравещи с огромни масиви лични данни на населението, както и да се въведат механизми, изключващи опасната самодейност поне на техническо и административно ниво.

За рисковете от управленската некадърност и назначенията на пенкелер-калинки на отговорни постове техническо решение засега не е открито.

Обновена в 13:30

След публикацията МОН излезе с прессъобщение (засега налично само в социалната мрежа Facebook), в което се заявява, че няма пробив в системата за обхват на децата и свободен достъп до въвежданата информация. В него обаче се забелязват две взаимоизключващи се твърдения:

“Системата „Посещаемо и безопасно училище“ никога не е разполагала с данните на 1, 2 млн. деца”. – пишат от МОН и веднага след това: “Няма външен достъп до ЕГН-та и други защитени данни на всички над 1 млн. деца, защото тази част от информацията никога не е била отваряна. Подадена от ГРАО в МОН тя беше използвана единствено за сравнение на наличните масиви на записани деца и съответно беше установена разлика от 206 378 деца и ученици.”

Дали системата е разполагала с милион или с милион и двеста милиона записа не променя общата картина и фактът, че беше налице пробив в сигуността.

Очевидно е, че базата на ГРАО е сравнявана с масива на МОН със записаните в училище деца, който съдържа съизмеримо количество записи. По официални данни броят на учениците у нас е около 700 000, но системата за обхват на децата трябва да разполага и с данни за броя деца в предучилищна възраст, така че общия брой записи в тази система наближава милион.

Също така липсата на достъп до ЕГН не е голямо успокоение, защото в извежданата на страница информация имаше три имена, пълен адрес до етаж и апартамент и евентуално учебно заведение, посещавано от детето. Тази комбинация дава уникална информация за всяко дете. Самият факт че беше възможен достъп без парола до формуляри с такива данни е скандален.

Проверката на Биволъ, удостоверена и от свидетели показа, че преди да бъде затворена системата реагираше на произволни номера на формуляри в диапазон от над 1 милион записа. Освен това извеждаше информация и за поредни номера, което е грубо нарушение на информационната сигурност.

В крайна сметка МОН успокоява, че към момента на изпращане на прессъобщението (няколко часа след нашия сигнал), пробивът вече е запушен.

Единственият външен сървър, използван временно за достъп на екипите за обхват, не съдържа ЕГН-та и други лични данни, защитен е със сертификати за сигурност и периодично сменя позицията си в интернет и кодовете на екипите, които имат достъп. – твърдят от Министерството на образованието.

***

Ако намирате, че статията е интересна и полезна, можете да ни подкрепите, за да продължим да правим независима разследваща журналистика.

Включете се с Данъкъ Биволъ!

При възможност, станете наш редовен спомоществовател с опцията Месечен Данъкъ или Годишен Данъкъ. Това ни помага да предвиждаме бъдещи разходи и да планираме дейността си за месеци напред.

Месечен

Месечен Годишен

Годишен Еднократен Donation Amount: € 5.00 €, Месечно

10.00 €, Месечно

20.00 €, Месечно

50.00 €, Месечно

Друга сума Избрахте да дарите 10.00€ Месечно Would you like to help cover the processing fees? Искам да платя и таксите за транзакцията за моя данъкъ / I'd like to cover the transaction fees of 0 Включвам се Възможности за плащане Debit or Credit Card

Epay/Кеш/Банков превод

Cards on Stripe

PayPal Информация за Вас Име * Фамилия Email адрес * Желая да даря анонимно Create an account Already have an account? Login Искам да се абонирам за новини от Биволъ / I want to subscribe to Bivol newsletter Обща сума: 10.00€ Месечно {amount} donation plus {fee_amount} to help cover fees. Извършвайки плащане Вие се съгласявате с Общите условия, които предварително сте прочели тук. Биволъ не записва и не съхранява номера на Вашата банкова карта. Плащанията се обработват през системата Stripe. Даренията за Биволъ с банкови карти се управляват от френската неправителствена организация Data for Reporters Journalists and Investigations - DRJI. Donation Amount: € 10.00 €, Годишно

20.00 €, Годишно

50.00 €, Годишно

200.00 €, Годишно

Друга сума Избрахте да дарите 10.00€ Годишно Would you like to help cover the processing fees? Искам да платя и таксите за транзакцията за моя данъкъ / I'd like to cover the transaction fees of 0 Включвам се Възможности за плащане Debit or Credit Card

Cards on Stripe

PayPal Информация за Вас Име * Фамилия Email адрес * Желая да даря анонимно Create an account Already have an account? Login Искам да се абонирам за новини от Биволъ / I want to subscribe to Bivol newsletter Обща сума: 10.00€ Годишно {amount} donation plus {fee_amount} to help cover fees. Извършвайки плащане Вие се съгласявате с Общите условия, които предварително сте прочели тук. Биволъ не записва и не съхранява номера на Вашата банкова карта. Плащанията се обработват през системата Stripe. Даренията за Биволъ с банкови карти се управляват от френската неправителствена организация Data for Reporters Journalists and Investigations - DRJI. Donation Amount: € 5.00 €

10.00 €

20.00 €

50.00 €

100.00 €

Друга сума Would you like to help cover the processing fees? Искам да платя и таксите за транзакцията за моя данъкъ / I'd like to cover the transaction fees of 0 Включвам се Възможности за плащане Debit or Credit Card

Cards on Stripe

PayPal Информация за Вас Име * Фамилия Email адрес * Желая да даря анонимно Create an account Already have an account? Login Искам да се абонирам за новини от Биволъ / I want to subscribe to Bivol newsletter Обща сума: 5.00€ {amount} donation plus {fee_amount} to help cover fees. Извършвайки плащане Вие се съгласявате с Общите условия, които предварително сте прочели тук. Биволъ не записва и не съхранява номера на Вашата банкова карта. Плащанията се обработват през системата Stripe. Даренията за Биволъ с банкови карти се управляват от френската неправителствена организация Data for Reporters Journalists and Investigations - DRJI.

Вижте как да подкрепите Биволъ със SMS на кратък номер или с криптовалута тук

This post is also available in: English