В Литве еще плохо понимают, что такое кибербезопасность. Об этом постоянно повторяют эксперты, в ответ им лишь согласно кивают головой, но на предупреждения не реагируют. Это доказал один 13-летний подросток, продемонстрировав, что если подключиться к популярному электронному дневнику и изменить одну цифру, можно получить доступ к персональной информации пользователей.
© DELFI / Andrius Ufartas

Mano dienynas (электронный дневник) отвечает всем требованиям и стандартам безопасности, поэтому можете доверить ему персональные данные. Об этом сказано на сайте электронного дневника, услугами которого пользуются 187 512 учеников, 23 582 учителей и 277 681 родителей и опекунов из 918 школ. Это второй по популярности электронный дневник в Литве.

Однако один школьник, который три года назад увлекся программированием, провел небольшой эксперимент, во время которого показал, что данные Mano dienynas далеко не так хорошо защишены, как уверяют администраторы.

"Есть две лазейки: система безопасности такова, что можно прислать любой файл из системы, изменив его значение", – сказал подросток, подчеркнув, что не хочет вдаваться в подробности, поскольку этот недостаток не устранен, а значит рассказывать подробно о нем неэтично.

Правда, администраторы системы – ЗАО Национальный центр образования (Nacionalinis švietimo centras), до сих пор не исправили эту ошибку, несмотря на то, что подросток написал им письмо и рассказал о недочетах.

Директор центра Гедрюс Ракаускас сказал DELFI, что ему об этом ничего не известно и что он никаких писем не получал.

"Я этого не видел, поэтому ничего не могу комментировать", - сказал он.

Разговоры об этой проблеме начались давно. К примеру, в марте 2017 года в интернете распространяли запись, в которой упоминалось о проблеме, оставленной самими представителями Nacionalinio švietimo centras, администраторы просто не могли знать об этом.

Школьник нашел слабое место: доступные данные о сотнях тысяч детей и родителей
© Facebook

DELFI проверил эту информацию, оказалось, что эта проблема также до сих пор не решена, и любой может подключиться к системе и получить данные о сотнях тысяч людей – достаточно лишь изменить одну цифру.

"Молодой человек говорит правду. При переписке пользователей manodienynas.lt - учителей, родителей и т.д. - прикрепленные к письмам дела доступны для всех пользователей без исключения.

Проблема в том, что система проверяет только, подключен ли пользователь, но нет системы выяснения, для кого конкретно предназначено конкретное дело.

Вторая проблема - все дела сохраняются небезопасно, поэтому, чтобы прислать любой другой файл, достаточно поменять одну цифру в ссылке.

Скажем, если в адресованном вам письме было в ссылке число 100, заменяешь его на 99 и получишь дело, которое было перед ним и т.д.", – сказал DELFI один специалист по ИТ.

По его словам, важно отметить, что системой пользуются многие школы, поэтому существуют тысячи дел внутренней переписки.

"Мы попробовали сделать это и увидели, что люди пересылают и протоколы, и персональные данные учеников, отметки, планы работы учителей и т.д.", – сказал специалист по ИТ.

Подросток, который нашел брешь в системе электронного дневника, стал самостоятельно интересоваться программированием с 10 лет, когда играл в игру Minecraft. Он быстро понял, что самый большой недостаток систем - люди, у которых есть доступ и возможность манипулировать данными.

"Он очень талантливый, мы рады таким ученикам. Он самостоятельно научился программировать, смотрел записи на Youtube, а сейчас он работает в кружке ИТ", – сказала директор вильнюсской прогимназии им. Барборы Радвилайте Инга Варгалене.

По ее словам, на Mano dienynаs хранятся данные о переписке родителей, учителей, учеников, отметки, статистика посещаемости, данные о здоровье детей, личные данные, контакты, адреса. Варгалене отметила, что в Национальный центр образования обращался и сам ученик их школы и администратор, но никакого ответа они так и не получили.

Оставьте свой комментарий
либо комментировать анонимно
Публикуя, вы соглашаетесь с условиями
Читать комментарии Читать комментарии

В Каунасской клинике в корне изменили систему общепита

Для обеспечения пациентов качественным питанием...

Реакция на ситуацию в системе образования: деньги получат не все школы (1)

1/4 часть школьников Литвы не получает даже базовые...

Остановлена вырубка леса в Лабанорской пуще (5)

"Поскольку общество озабочено вопросом вырубки леса в...

Никому не нужный царь: почему российской власти не нужна память о Николае Втором, а Церкви – его кости? Специально для DELFI (25)

Столетие убийства последнего русского императора, его...