Procurili osobni podaci 560.000 učenika i nastavnika! Oglasio se CARNET

U javnost su procurili osjetljivi podaci više od 560 tisuća hrvatskih učenika i nastavnika, što službeno ulazi u red najvećih sigurnosnih incidenata u povijesti hrvatskih javnih institucija.

Vijest o golemom curenju podataka iz domaćeg obrazovnog sustava pojavila se jednom online forumu, a kako javlja Dnevnik.hr, uvidom u bazu i izravnom provjerom potvrđeno je da su objavljeni podaci točni i stvarni. Na forumu je osvanula kriptirana datoteka, a pretragom po imenima djece i njihovih školskih kolega utvrđeno je da se ne radi o lažnoj uzbuni ili testnim podacima.

Nakon uklanjanja duplih unosa, računalni stručnjaci na društvenim mrežama izračunali su da baza sadrži točno 563.509 jedinstvenih zapisa. Svaki pojedinačni unos obuhvaća ime i prezime učenika ili nastavnika, naziv škole (baza pokriva čak 1452 škole u Hrvatskoj), tip korisnika te službenu e-mail adresu s domenom @skole.hr.

Tko je sve na popisu?

Analiza strukture podataka otkrila je neobičan detalj koji bi mogao pomoći u lociranju izvora ovog sigurnosnog propusta. Naime, u bazi se bez problema mogu pronaći podaci učenika starijih razreda osnovnih škola, dok podataka za djecu iz nižih razreda uopće nema.

Stručnjaci zbog toga razvijaju dvije teorije o tome kako je došlo do kompromitacije sustava. Prva je da su podaci iscurili preko neke od popratnih školskih aplikacija. Budući da se računi s domenom @skole.hr otvaraju odmah u prvom razredu, ali se za platforme poput Teamsa ili Officea 365 aktivno počinju koristiti tek u višim razredima, sumnja se na aplikaciju treće strane koja povlači bazu tek aktiviranih računa.

Iscurila starija sigurnosna kopija?

Druga pretpostavka je da se radi o curenju starije sigurnosne kopije (backupa) sustava. Na to upućuje činjenica da je brojka od 563 tisuće zapisa znatno veća od trenutnog broja aktivnih učenika u Hrvatskoj, što znači da baza sadrži i generacije koje su već izašle iz školskog sustava, dok djeca koja su tek nedavno sjela u školske klupe u nju nisu ni bila upisana.

Budući da je riječ o osobnim podacima golemog broja maloljetnika, jasno je da izloženost imena i službenih adresa djece otvara opasan prostor za phishing napade i različite internetske zloupotrebe. Službeno očitovanje Ministarstva znanosti i obrazovanja o ovom  incidentu još se čeka.

CARNET: Pokrenuli smo opsežnu analizu

Večeras se o ovom velikom sigurnosnom incidentu oglasio i CARNET, Hrvatska akademska i istraživačka mreža.  

“CARNET je upoznat s informacijama o neovlaštenom dijeljenju podataka povezanih s osnovnim i srednjim školama. Odmah po saznanju pokrenuta je opsežna tehnička i forenzička analiza kako bi se utvrdila vjerodostojnost objavljenih podataka, njihov opseg, podrijetlo te način na koji su dospjeli u javnost”, stoji u priopćenju CARNET-a.

“Prema informacijama kojima trenutačno raspolažemo, objavljeni podaci uključuju ime i prezime korisnika, adresu elektroničke pošte, naziv škole te korisničku ulogu. Analiza njihova podrijetla i opsega još uvijek traje”, navodi se u reakciji na incident.

“Upozoravamo korisnike na povećan rizik”

“Iako se ne radi o podacima koji omogućuju pristup korisničkim računima, upozoravamo korisnike na povećan rizik od ciljanih phishing napada i drugih oblika socijalnog inženjeringa. Stoga pozivamo na dodatan oprez prilikom zaprimanja elektroničke pošte u kojima se traže podaci za prijavu ili druge osobne informacije”, stoji u priopćenju.

“U ovom trenutku nema indicija koje bi upućivale na potrebu za promjenom korisničkih zaporki. Ako rezultati istrage pokažu da su potrebne dodatne sigurnosne mjere, korisnici će o njima biti pravodobno obaviješteni putem službenih komunikacijskih kanala”, objavio je CARNET.

Prema trenutačno dostupnim informacijama, nema pokazatelja da je ugrožen rad CARNET-ovih usluga, navodi se.

“Svjesni smo da je ova situacija izazvala zabrinutost među učenicima, roditeljima, nastavnicima i školama. Korisnike i cjelokupnu javnost pravodobno ćemo izvještavati o svim potvrđenim činjenicama putem CARNET-ovih službenih komunikacijskih kanala”, zaključuje CARNET u priopćenju.

NOVO.hr

foto: shutterstock