Течът на данни от МОН: как се свалят всички дипломи и лични данни от онлайн регистрите?

Вече цяла седмица основна тема за разговор, дискусии и най-вече подигравки е сигурността на данните, които предоставяме за съхранение на нашите институции. Ако някой каже, че е изненадан, че сигурност практически липсва, би излъгал.  В основата на проблема дори не стои ограниченият финансов ресурс и липса на специалисти, защото историята помни как държавни органи раздават огромни суми за създаване на абсурдни системи и сайтове.

Нека си припомним един фрапиращ случай, който се разви 4 години (през 2015 година) преди хакването на НАП. Този случай касаеше “Регистърът на завършилите студенти” на Министерство на образованието и науката.

Проблемът: В системата можеше да се влезе чрез ЕГН и номер на дипломата. Озовавате се в страница, в която виждате сканирана цялата си диплома. Когато кликнете на едно от изображенията, се отваря нов прозорец под формата на снимка, която може да свалите. Шокиращото бе, че ако промените шестте цифри (които съм оградил в червено) в address bar на своя браузър, ще се отвори сканирана нечия чужда диплома, която можете да свалите. Ако постоянно променяте цифрите, ще можете да свалите огромен брой дипломи – от 2006 година до настоящия момент. Проблемът бе огромен, защото в дипломите се съдържа информация за вашето ЕГН, трите имена, адресна регистрация, дата на раждане, телефон, образование, оценки и кой знае какво още. Ироничното бе, че в същия момент прокуратурата повдигна обвинения на 25 годишната Фатме от Пловдив, защото бе изтеглила кредити на стойност от 14 449 лева с помощта на откраднати лични данни на свои състудентки. Представете си какви би станало, ако имаше данни от хиляди дипломи.

Аз успях да сваля няколко чужди дипломи просто със сменяне на номерата в web адреса. Човекът, който откри тази сериозна слабост (който е близък член на семейството ми и е програмист) успя да свали всички дипломи чрез автоматизирана методика, защото очевидно е по-компетентен от мен, но не с някаква злонамерена цел, а просто за да видим дали е възможно да се направи, ако някой има желание. Бе възможно!

Случаят завърши през 2015 година без много шум. Бе пуснат сигнал до ГДБОП за слабост в тази сигурност. Никой не е заплашвал или изнудвал институциите. Въпреки адекватно подаденият сигнал, институциите се задействаха и премахнаха дупката в сигурността едва месец по-късно, което показа колко важна за тях е сигурността на данните. Колко усилия полагат, за да ни опазят. Колко съвестно си вършат работата. Вместо да реагират светкавично, държавните органи оставиха един месец толеранс на всеки, който има нужда от лични данни.

Кой е виновен?

Виновен бе на първо място г-н Даниел Вълчев (към момента декан на ЮФ към СУ), който при дадената пресконференция относно изминалата първа година от мандата като министър на образованието се похвали, че тази електронна система е един от най-големите му успехи. В следствие през 2007 година заработи и регистърът за дипломи за средно образование. Почти 10 години тези регистри са работели с тази огромна слабост в сигурността. Всеки е можел да сваля дипломи без проблем.

Друг виновник е и фирмата Админ Софт (adminsoft.bg), която се оказва, че е основният печаливш на обществени поръчки от МОН за създаване на софтуер. Фирмата е печелила множество обществени поръчки на стойност от 200 000 до 2 000 000 лева. Очевидно качеството им на работа не е високо. Проектите им сякаш са разработени от ученици.

Когато печелиш пръчка за 200 000 лева или за милиони, е редно да провериш дали продуктът ти е качествен. А когато боравиш с лични данни, е задължително да провериш дали някой може да се добере до тях и да злоупотреби с тях. A една от последните спечелени обществени поръчки, дадена от МОН, е за “събиране и обработка на данни”. Практиката показва, че АдминСофт може и да могат да събират данни, но не много добре ги опазват…

Както винаги за подобни гафове виновни няма. Всичко е точно, въпри нововъведените норми и закони. Дори да има глоби и наказания те няма да са персонални, а ще се плащат от парите на данъкоплатците, което е недопустимо!

Хареса ли ти тази статия? Може да подкрепиш biologist чрез Patreon!