„Mano dienynas“ atitinka visus šiuolaikinius interneto saugumo standartus, todėl galite patikėti visus savo duomenis. Taip savo tinklapyje išdidžiai pristatomas elektroninis dienynas, kurio paslaugomis 918 mokyklų naudojasi 187512 mokiniai, 23582 mokytojų, o didžiausias – tėvų arba globėjų skaičius – net 277681. Tai yra antras pagal populiarumą elektroninis dienynas Lietuvoje.
Tačiau vienas prieš trejus metus programavimu susidomėjęs moksleivis atliko nedidelį eksperimentą, kurio metu pademonstruota, kad „Mano dienyno“ duomenys nėra tokie saugūs, kaip tikina sistemos administratoriai.
„Pagrindinės skylės yra dvi: sistemos saugumo spraga tokia, kad galima atsisiųsti bet kokį failą iš sistemos pakeitus reikšmę“, – sakė jaunuolis, pabrėžęs, kad nenorėtų detaliau komentuoti, kaip galima aptikti spragą, mat ji nėra sutaisyta ir apie tai pasakoti viešai būtų neetiška.
Tiesa, viešai paraginti sutaisyti spragą, sistemos administratoriai – UAB Nacionalinio švietimo centras, kol kas to nepadarė netgi po to, kai 13-metis į juos kreipėsi laišku, detaliai aprašydamas minėtą spragą.
DELFI susisiekus su Nacionalinio švietimo centru, šio direktorius Giedrius Rakauskas sakė nieko nežinantis apie minėtą spragą ir tikino, jog laiškų ir užklausų taip pat nėra sulaukęs.
„Aš to nemačiau ir kol kas nieko negalėčiau komentuoti“, - sakė Nacionalinio švietimo centro direktorius.
Privatūs duomenys – pakeitus vos vieną skaičių
Kalbos apie tokią spragą sklido jau senokai. Pavyzdžiui dar pernai kovą internete sklido įrašas, kuriame paminėta ta pati Nacionalinio švietimo centro palikta spraga ir sistemos administratoriai apie tai negalėjo nežinoti.
Vis dėlto DELFI patikrinus informaciją, paaiškėjo, kad kibernetinio saugumo spraga iki šiol nesutvarkyta ir bet kuris asmuo potencialiai gali prisijungti prie dienyne esančių šimtų tūkstančių privačių duomenų – tereikia pakeisti vos vieną skaičių.
„Jaunuolis sako teisybę. Susirašinėjant mokytojams, jų tėvams ar kitiems manodienynas.lt sistemos naudotojams, susirašinėjimo metu prie laiškų prisegtos bylos tampa prieinamos visiems sistemos vartotojams nepriklausomai nuo to, ar laiškai buvo adresuoti jiems, ar ne.
Bėda ta, kad dienyno sistema tikrina tik faktą, ar vartotojas yra prisijungęs, bet neturi jokio patikros mechanizmo ar sistemoje gulinti byla yra skirta tam vartotojui, ar bet kuriam kitam.
Kita bėda ta, kad visos prie laiškų prisegamos bylos nesaugiai išsaugomos su vis didėjančiu skaitinių identifikatoriumi, tad norint parsisiųsti bet kurį kitą failą jo pavadinimo spėlioti nereikia, užtenka pakeisti skaičiuką nuorodoje.
Tarkim jei jums adresuotame laiške bylos nuoroda turėjo skaičių 100, šį skaičių pakeitus į 99 bus parsiųsta prieš tai įkelta byla, tikėtina, visai kito vartotojo ir iš kito susirašinėjimo“, – DELFI sakė vienas IT specialistas.
Jo teigimu, svarbu ir tai, kad šia dienyno sistema naudojasi ne viena mokykla, tad prie vidinių susirašinėjimų prisegtų bylų yra tūkstančiai. Prieš parsisiunčiant failus, apie jų turinį nėra žinoma, tačiau parsisiuntus jų dešimtis ar šimtus, jau galima analizuoti kokiais dokumentais privačiai keičiasi mokytojai ir mokinių tėvai.
„Pabandžius tai atlikti matome, kad tarp bylų yra ir įvairių protokolų, mokinių asmens duomenų suvestinių, įvairių pažymų, mokytojų darbų planų ir k.t.“, – sakė IT specialistas.
Programuoti išmoko pats
Spragą aptikęs mokinys kibernetiniu saugumu tikina pradėjęs domėtis vos 10 metų, kai žaisdamas žaidimą „Minecraft“ ėmė programuoti. Jis greitai suprato, kad didžiausios spragos sistemose yra žmonės, kurie turi prieigą ir gali manipuliuoti duomenimis.
„Kitas veiksnys – kai žmonės, kurie instaliuoja internetinius puslapius, netinkamai juos konfigūruoja, leidžia prisijungti prie administravimo valdymo“, – teigė vaikinas.
„Jis labai talentingas, mes labai džiaugiamės tokiais mokiniais. Jis pats savarankiškai išmoko programuoti žiūrėdamas „Youtube“ filmukus, pamokėles, o dabar mokinys jau dirba kryptingai IT būrelyje“, – sakė Vilniaus Barboros Radvilaitės progimnazijos direktorė Inga Vargalienė. Mokykloje mokosi 735 mokiniai ir 84 mokytojai bei pedagoginiai darbuotojai.
Direktorės teigimu, „Mano dienyne“ saugomi tėvų, vaikų susirašinėjimo duomenys, pavyzdžiui, vaikų pažymiai, lankomumo statistika, o taip pat ir vaikų ligų, sveikatos duomenys, asmeniniai kontaktai, gyvenamosios vietos adresai. I. Vargalienė pabrėžė, kad į Nacionalinio švietimo centrą kreipėsi ir pats mokinys, ir mokyklos administratorė, tačiau jokio atsakymo iki šiol nesulaukė.