В Литве еще плохо понимают, что такое кибербезопасность. Об этом постоянно повторяют эксперты, в ответ им лишь согласно кивают головой, но на предупреждения не реагируют. Это доказал один 13-летний подросток, продемонстрировав, что если подключиться к популярному электронному дневнику и изменить одну цифру, можно получить доступ к персональной информации пользователей.
© DELFI / Andrius Ufartas

Mano dienynas (электронный дневник) отвечает всем требованиям и стандартам безопасности, поэтому можете доверить ему персональные данные. Об этом сказано на сайте электронного дневника, услугами которого пользуются 187 512 учеников, 23 582 учителей и 277 681 родителей и опекунов из 918 школ. Это второй по популярности электронный дневник в Литве.

Однако один школьник, который три года назад увлекся программированием, провел небольшой эксперимент, во время которого показал, что данные Mano dienynas далеко не так хорошо защишены, как уверяют администраторы.

"Есть две лазейки: система безопасности такова, что можно прислать любой файл из системы, изменив его значение", – сказал подросток, подчеркнув, что не хочет вдаваться в подробности, поскольку этот недостаток не устранен, а значит рассказывать подробно о нем неэтично.

Правда, администраторы системы – ЗАО Национальный центр образования (Nacionalinis švietimo centras), до сих пор не исправили эту ошибку, несмотря на то, что подросток написал им письмо и рассказал о недочетах.

Директор центра Гедрюс Ракаускас сказал DELFI, что ему об этом ничего не известно и что он никаких писем не получал.

"Я этого не видел, поэтому ничего не могу комментировать", - сказал он.

Разговоры об этой проблеме начались давно. К примеру, в марте 2017 года в интернете распространяли запись, в которой упоминалось о проблеме, оставленной самими представителями Nacionalinio švietimo centras, администраторы просто не могли знать об этом.

Школьник нашел слабое место: доступные данные о сотнях тысяч детей и родителей
© Facebook

DELFI проверил эту информацию, оказалось, что эта проблема также до сих пор не решена, и любой может подключиться к системе и получить данные о сотнях тысяч людей – достаточно лишь изменить одну цифру.

"Молодой человек говорит правду. При переписке пользователей manodienynas.lt - учителей, родителей и т.д. - прикрепленные к письмам дела доступны для всех пользователей без исключения.

Проблема в том, что система проверяет только, подключен ли пользователь, но нет системы выяснения, для кого конкретно предназначено конкретное дело.

Вторая проблема - все дела сохраняются небезопасно, поэтому, чтобы прислать любой другой файл, достаточно поменять одну цифру в ссылке.

Скажем, если в адресованном вам письме было в ссылке число 100, заменяешь его на 99 и получишь дело, которое было перед ним и т.д.", – сказал DELFI один специалист по ИТ.

По его словам, важно отметить, что системой пользуются многие школы, поэтому существуют тысячи дел внутренней переписки.

"Мы попробовали сделать это и увидели, что люди пересылают и протоколы, и персональные данные учеников, отметки, планы работы учителей и т.д.", – сказал специалист по ИТ.

Подросток, который нашел брешь в системе электронного дневника, стал самостоятельно интересоваться программированием с 10 лет, когда играл в игру Minecraft. Он быстро понял, что самый большой недостаток систем - люди, у которых есть доступ и возможность манипулировать данными.

"Он очень талантливый, мы рады таким ученикам. Он самостоятельно научился программировать, смотрел записи на Youtube, а сейчас он работает в кружке ИТ", – сказала директор вильнюсской прогимназии им. Барборы Радвилайте Инга Варгалене.

По ее словам, на Mano dienynаs хранятся данные о переписке родителей, учителей, учеников, отметки, статистика посещаемости, данные о здоровье детей, личные данные, контакты, адреса. Варгалене отметила, что в Национальный центр образования обращался и сам ученик их школы и администратор, но никакого ответа они так и не получили.

Оставьте свой комментарий
либо комментировать анонимно
Публикуя, вы соглашаетесь с условиями
Читать комментарии Читать комментарии

Каунас встречает своих героев: собрались сотни болельщиков

Каунасский "Жальгирис" занял третье место в Евролиге...

Комиссия по люстрации: Сондецкис и Банионис не были сотрудниками КГБ (11)

Нельзя утверждать, что Саулюс Сондецкис и Донатас...

Сквер у посольства РФ предлагают назвать Сквером российских демократов (24)

Мэр Вильнюса Ремигиус Шимашюс сквер близ здания...

Новый порядок привел к хаосу: без выплат остались некоторые пенсионеры и дети (17)

Новый порядок декларирования места жительства в Литве...

ДГБ Литвы: высокопоставленный прокурор за вознаграждение помогал MG Baltic (6)

Департамент госбезопасности Литвы ( ДГБ ) утверждает,...

TOP новостей

Комиссия по люстрации: Сондецкис и Банионис не были сотрудниками КГБ (11)

Нельзя утверждать, что Саулюс Сондецкис и Донатас...

Новый порядок привел к хаосу: без выплат остались некоторые пенсионеры и дети (17)

Новый порядок декларирования места жительства в Литве...

ДГБ Литвы: высокопоставленный прокурор за вознаграждение помогал MG Baltic (6)

Департамент госбезопасности Литвы ( ДГБ ) утверждает,...