Skandal u Hrvatskoj: Procurili podaci više od pola miliona učenika i nastavnika

U Hrvatskoj je, prema navodima medija, došlo do curenja podataka više od 560.000 učenika i nastavnika iz obrazovnog sistema, što predstavlja jedan od najvećih bezbjednosnih incidenata.

AUTOR:

Provjereno Info

Скандал у Хрватској: Процурили подаци више од пола милиона ученика и наставника

Foto:Pixabay

Vijest o navodnom curenju osjetljivih podataka iz hrvatskog obrazovnog sistema, koja se danas, 28. juna, pojavila na internetu, dobila je potvrdu.

Na internet forumu je javno objavljena kriptovana datoteka koja sadrži stotine hiljada zapisa o učenicima osnovnih i srednjih škola u Hrvatskoj, a redakcija portala Dnevnik.hr imala je uvid u bazu podataka te direktnom provjerom utvrdila da su podaci tačni.

Iako se u prvim časovima nagađalo radi li se o lažnoj uzbuni ili nasumično generisanim testnim podacima, provjere stručnjaka na društvenoj mreži LinkedIn, kao i direktan novinara portala u dešifrirani sadržaj, potvrdili su sumnje.

Pretragom po imenima vlastite djece, kao i njihovih kolega i pripadajućim školama ustanovljeno je da baza sadrži stvarne i precizne podatke.

Autor posta je na Redditu - kojim je skrenuta skrenuta na ovu objavu s foruma - nakon uklanjanja duplih unosa (deduplikacije e-mail adresa), utvrdio da baza sadrži tačno 563.509 jedinstvenih zapisa.

Svaki pojedinačni zapis u bazi obuhvata:

Ime i prezime učenika ili nastavnika
Naziv institucije (baza pokriva čak 1452 škole u Hrvatskoj)
Tip korisnika (jasno razgraničenje: učenik/nastavnik/korisnik)
Zvaničnu e-mail adresu s domenom @skole.hr

Ko je na popisu, a ko nedostaje?

Analizirajući strukturu podataka, novinar je uočio važan detalj koji bi mogao otkriti izvor curenja ili starost same baze. Naime, pretragom je utvrđeno da baza bez greške pronalazi podatke učenika starijih razreda osnovnih škola (naprimjer, učenika koji su sada završili šesti razred), dok podataka za učenike nižih razreda (poput završetka drugog razreda) - u bazi nema.

Ovaj podatak otvara dvije ozbiljne pretpostavke za računarske stručnjake koji pokušavaju izolovati bezbjednosni propust.

Kompromitacija popratnih aplikacija: Računi s domenom @skole.hr generišu se automatski pri upisu u prvi razred, ali se za platforme poput Teamsa, Ofisa 365 ili naprednih školskih aplikacija aktivno počinju koristiti tek u višim razredima. Izvor curenja bi mogao biti treća strana, odnosno aplikacija koja povlači bazu tek aktiviranih računa.

Stariji "backup" sistema: Obzirom da je brojka od 563.000 zapisa znatno vijeća od trenutnog broja aktivnih učenika u Hrvatskoj, očito je da baza sadrži i generacije koje su već izašle iz školskog sistema. To upućuje na curenje starije bezbjednosne kopije (backupa) u kojoj djeca koja su tek nedavno krenula u školu nisu ni bila upisana.

Jedan od najvećih propusta u istoriji

S obzirom na to da je riječ o kompromitaciji ličnih podataka velikog broja maloljetnih osoba, ovaj događaj zvanično ulazi u red najvećih bezbjednosnih incidenata u istoriji hrvatskih javnih institucija.

Izloženost imena, prezimena i zvaničnih adresa djece otvara ogroman prostor za potencijalne phishing napade i zloupotrijebe.

Zvanična reakcija ministarstva još se čeka.