Новата платформа на МОН “Посещаемо и безопасно училище” показа личните данни на 1,2 милиона български деца

След сигнал от Биволъ достъпът до сървъра беше спрян. ДАНС трябва да установи има ли пробив в националната сигурност
Екип на Биволъ

Сигнал на наш читател доведе до спиране на сериозен теч от сървър на Министерството на образованието. Проверка на Биволъ установи, че личните данни на над 1,2 милиона български деца, са били в продължение на дълъг период от време достъпни без идентификация за всеки, който е знаел интернет адреса. Технически не е било проблем да се източат имената, възрастта, точните адреси и посещаваните училища за всички български деца.

Става дума за вътрешна страница на сайта http://back2school.mon.bg/ в платформата “Посещаемо и безопасно училище”. Тя беше представена от МОН като средство за борба с отпадането от училище. Проектът се реализира след решението на Министерски съвет от 5 юли 2017 г. за създаване на Механизъм за съвместна работа на институциите по обхващане и задържане в образователната система на деца и ученици в задължителната училищна и предучилищна възраст.

Главен трубадур и пиар на новата система е зам.-министърката на образованието Деница Сачева. Тя изгря в политиката като водач на листата на ДСБ в Хасково, след което за два мандата “Борисов” прехвърча през здравното, социалното, та до образователното министерство.

В съобщението на МОН за платформата се казва, че: “В системата ще бъдат включени всички данни, необходими за откриване и обхващане на подрастващите в образователната система, както и действията, които предприемат представителите на различни институции, за да помогнат конкретно на всяко дете да се образова възможно по-дълго време.”

“До платформата, чрез сайтовете на двете институции, ще имат достъп само оторизирани лица” – уверяваха още от министерството.

Безопасността на сайта обаче е под всякаква критика, както се вижда още от страницата за идентификация, която не е защитена с криптиращ протокол (б.ред. след публикацията ни беше въведена защита) и паролите могат да бъдат прочетени от всеки злонамерен хакер. Компрометирането на потребителските имена и пароли би довело до пълен достъп до системата от лица, които не би трябвало да имат такъв.

Има обаче и по-лоша новина. На вече затворената (след сигнал от Биволъ) страница http://back2school.mon.bg/StudentForm.aspx?Entity=1000000 се виждаха пълните данни на дете: три имена, възраст, настоящ и постоянен адрес, ако детето посещава училище – кое е то. При промяна на номера в Entity излизаха данни на друго дете и т.н.

Свободният достъп до тази информация, без логин и парола, както и поредните вътрешни номера в системата са изключително вредна и опасна практика. Много лесно може да се напише проста програма, който да събере данните за всички деца в системата. Така всеки с малко повече познания за интернет може да получи данните на всички български деца, да ги зареди в база данни и да си избира деца по град, възраст, име и т.н.

Лесно можем да си представим какво може да се случи, ако тези данни попаднат при някой педофил или групи по отвличания. Например, елементарно е да се проследят децата на влиятелни бизнесмени.

Всичко това изисква незабавна намеса на ДАНС, която да провери журналите на сървърите за следи от масово източване на данни. 1,2 милиона  – това е реален пробив в националната сигурност. Крайно време е също така да се обърне внимание на информационната защита на институциите, боравещи с огромни масиви лични данни на населението, както и да се въведат механизми, изключващи опасната самодейност поне на техническо и административно ниво.

За рисковете от управленската некадърност и назначенията на пенкелер-калинки на отговорни постове техническо решение засега не е открито.

Обновена в 13:30

След публикацията МОН излезе с прессъобщение (засега налично само в социалната мрежа Facebook), в което се заявява, че няма пробив в системата за обхват на децата и свободен достъп до въвежданата информация. В него обаче се забелязват две взаимоизключващи се твърдения:

“Системата  „Посещаемо и безопасно училище“ никога не е разполагала с данните на 1, 2 млн. деца”. – пишат от МОН и веднага след това:

“Няма външен достъп до ЕГН-та и други защитени данни на всички над 1 млн. деца, защото тази част от информацията никога не е била отваряна. Подадена от ГРАО в МОН тя беше използвана единствено за сравнение на наличните масиви на записани деца и съответно беше установена разлика от 206 378 деца и ученици.”

Дали системата е разполагала с милион или с милион и двеста милиона записа не променя общата картина и фактът, че беше налице пробив в сигуността.

Очевидно е, че базата на ГРАО е сравнявана с масива на МОН със записаните в училище деца, който съдържа съизмеримо количество записи. По официални данни броят на учениците у нас е около 700 000, но системата за обхват на децата трябва да разполага и с данни за броя деца в предучилищна възраст, така че общия брой записи в тази система наближава милион.

Също така липсата на достъп до ЕГН не е голямо успокоение, защото в извежданата на страница информация имаше три имена, пълен адрес до етаж и апартамент и евентуално учебно заведение, посещавано от детето. Тази комбинация дава уникална информация за всяко дете. Самият факт че беше възможен достъп без парола до формуляри с такива данни е скандален.

Проверката на Биволъ, удостоверена и от свидетели показа, че преди да бъде затворена системата реагираше на произволни номера на формуляри в диапазон от над 1 милион записа. Освен това извеждаше информация и за поредни номера, което е грубо нарушение на информационната сигурност.

В крайна сметка МОН успокоява, че към момента на изпращане на прессъобщението (няколко часа след нашия сигнал), пробивът вече е запушен.

Единственият външен сървър, използван временно за достъп на екипите за обхват, не съдържа ЕГН-та и други лични данни, защитен е със сертификати за сигурност и периодично сменя позицията си в интернет и кодовете на екипите, които имат достъп. – твърдят от Министерството на образованието.

***

Приятели, радваме се, че стигнахте дотук. Dear Friends, glad to see you finished reading the article.

Ако намирате, че статията е интересна и полезна, можете да ни подкрепите, за да продължим да правим независима разследваща журналистика. If you find this article usefull, you can support our efforts to keep doing independent investigative reporting.

Платете Данъкъ Биволъ! / Pay Bivol Tax!

Въведете сума по избор и номера на Вашата кредитна или дебитна карта. Изберете дали да ни подкрепите еднократно или всеки месец:

Подкрепа за Биволъ

Support Bivol
Or enter your payment details below

Биволъ не записва и не съхранява номера на Вашата банкова карта. Плащанията се обработват през системата Stripe. Ако използвате Apple Pay или G-Pay и виждате съответния бутон, можете да кликнете директно на него, без да въвеждате номер на картата. Bivol is not keeping track of your card number. We relay on Stripe for card, Apple Pay and G-Pay processing.

Можете също да се включите с ЕДНОКРАТЕН ДАНЪК през PayPal или Epay/банков превод или със СМС, или да станете един от нашите редовни, МЕСЕЧНИ ДАНЪКОПЛАТЦИ Научете повече за Данъкъ Биволъ тук.

You can also support us with ONE TIME TAX through PayPal, or become one of our regular, MONTHLY TAXPAYERS .

This post is also available in: English

Вижте също / Read Also