Сигнал на наш читател доведе до спиране на сериозен теч от сървър на Министерството на образованието. Проверка на Биволъ установи, че личните данни на над 1,2 милиона български деца, са били в продължение на дълъг период от време достъпни без идентификация за всеки, който е знаел интернет адреса. Технически не е било проблем да се източат имената, възрастта, точните адреси и посещаваните училища за всички български деца.

Става дума за вътрешна страница на сайта http://back2school.mon.bg/ в платформата “Посещаемо и безопасно училище”. Тя беше представена от МОН като средство за борба с отпадането от училище. Проектът се реализира след решението на Министерски съвет от 5 юли 2017 г. за създаване на Механизъм за съвместна работа на институциите по обхващане и задържане в образователната система на деца и ученици в задължителната училищна и предучилищна възраст.

Главен трубадур и пиар на новата система е зам.-министърката на образованието Деница Сачева. Тя изгря в политиката като водач на листата на ДСБ в Хасково, след което за два мандата “Борисов” прехвърча през здравното, социалното, та до образователното министерство.

В съобщението на МОН за платформата се казва, че: “В системата ще бъдат включени всички данни, необходими за откриване и обхващане на подрастващите в образователната система, както и действията, които предприемат представителите на различни институции, за да помогнат конкретно на всяко дете да се образова възможно по-дълго време.”

“До платформата, чрез сайтовете на двете институции, ще имат достъп само оторизирани лица” – уверяваха още от министерството.

Безопасността на сайта обаче е под всякаква критика, както се вижда още от страницата за идентификация, която не е защитена с криптиращ протокол (б.ред. след публикацията ни беше въведена защита) и паролите могат да бъдат прочетени от всеки злонамерен хакер. Компрометирането на потребителските имена и пароли би довело до пълен достъп до системата от лица, които не би трябвало да имат такъв.

Има обаче и по-лоша новина. На вече затворената (след сигнал от Биволъ) страница http://back2school.mon.bg/StudentForm.aspx?Entity=1000000 се виждаха пълните данни на дете: три имена, възраст, настоящ и постоянен адрес, ако детето посещава училище – кое е то. При промяна на номера в Entity излизаха данни на друго дете и т.н.

Свободният достъп до тази информация, без логин и парола, както и поредните вътрешни номера в системата са изключително вредна и опасна практика. Много лесно може да се напише проста програма, който да събере данните за всички деца в системата. Така всеки с малко повече познания за интернет може да получи данните на всички български деца, да ги зареди в база данни и да си избира деца по град, възраст, име и т.н.

Лесно можем да си представим какво може да се случи, ако тези данни попаднат при някой педофил или групи по отвличания. Например, елементарно е да се проследят децата на влиятелни бизнесмени.

Всичко това изисква незабавна намеса на ДАНС, която да провери журналите на сървърите за следи от масово източване на данни. 1,2 милиона  – това е реален пробив в националната сигурност. Крайно време е също така да се обърне внимание на информационната защита на институциите, боравещи с огромни масиви лични данни на населението, както и да се въведат механизми, изключващи опасната самодейност поне на техническо и административно ниво.

За рисковете от управленската некадърност и назначенията на пенкелер-калинки на отговорни постове техническо решение засега не е открито.

Обновена в 13:30

След публикацията МОН излезе с прессъобщение (засега налично само в социалната мрежа Facebook), в което се заявява, че няма пробив в системата за обхват на децата и свободен достъп до въвежданата информация. В него обаче се забелязват две взаимоизключващи се твърдения:

“Системата  „Посещаемо и безопасно училище“ никога не е разполагала с данните на 1, 2 млн. деца”. – пишат от МОН и веднага след това:

“Няма външен достъп до ЕГН-та и други защитени данни на всички над 1 млн. деца, защото тази част от информацията никога не е била отваряна. Подадена от ГРАО в МОН тя беше използвана единствено за сравнение на наличните масиви на записани деца и съответно беше установена разлика от 206 378 деца и ученици.”

Дали системата е разполагала с милион или с милион и двеста милиона записа не променя общата картина и фактът, че беше налице пробив в сигуността.

Очевидно е, че базата на ГРАО е сравнявана с масива на МОН със записаните в училище деца, който съдържа съизмеримо количество записи. По официални данни броят на учениците у нас е около 700 000, но системата за обхват на децата трябва да разполага и с данни за броя деца в предучилищна възраст, така че общия брой записи в тази система наближава милион.

Също така липсата на достъп до ЕГН не е голямо успокоение, защото в извежданата на страница информация имаше три имена, пълен адрес до етаж и апартамент и евентуално учебно заведение, посещавано от детето. Тази комбинация дава уникална информация за всяко дете. Самият факт че беше възможен достъп без парола до формуляри с такива данни е скандален.

Проверката на Биволъ, удостоверена и от свидетели показа, че преди да бъде затворена системата реагираше на произволни номера на формуляри в диапазон от над 1 милион записа. Освен това извеждаше информация и за поредни номера, което е грубо нарушение на информационната сигурност.

В крайна сметка МОН успокоява, че към момента на изпращане на прессъобщението (няколко часа след нашия сигнал), пробивът вече е запушен.

Единственият външен сървър, използван временно за достъп на екипите за обхват, не съдържа ЕГН-та и други лични данни, защитен е със сертификати за сигурност и периодично сменя позицията си в интернет и кодовете на екипите, които имат достъп. – твърдят от Министерството на образованието.

***

Ако намирате, че статията е интересна и полезна, можете да ни подкрепите, за да продължим да правим независима разследваща журналистика. If you find the article interesting and useful, you can support us to continue to do independent investigative journalism.

Включете се с Данъкъ Биволъ! Support Bivol

При възможност, станете наш редовен спомоществовател с опцията Месечен Данъкъ. Това ни помага да предвиждаме бъдещи разходи и да планираме дейността си за месеци напред.

• About
• Latest Posts

Екип на Биволъ

Екип на сайта за разследваща журналистика. Научете повече тук

Latest posts by Екип на Биволъ (see all)

• Журналистическо питане без отговор
  

  Два прости въпроса към Кирил и Лена

  - 1 май 2024
• #Подмянагейт: Метаданните разкриват автори, начина и мястото на действието
  

  Никола Минчев и Лена Бориславова – съставители на фалшиви документи за Корал

  - 29 април 2024
• #ПодмянаГейт: ДАНС е предала случая на Прокуратурата, тя го топка 9 месеца
  

  Кирил Петков е влязъл във властта с фалшиви документи и измама

  - 27 април 2024

This post is also available in: English