Lietuvoje kibernetinio saugumo suvokimas dar menkas. Tokį įspėjimą kartojantys ekspertai, regis, sulaukia tik linksėjimo galvomis, o į perspėjimus apie pavojingas spragas atsakingi asmenys vis dar nereaguoja. Tai įrodė vienas gabus 13- metis moksleivis, pademonstravęs, jog prisijungus prie populiaraus elektroninio dienyno ir pakeitus 1 skaičių atsiveria privati žmonių informacija.
© DELFI / Andrius Ufartas

„Mano dienynas“ atitinka visus šiuolaikinius interneto saugumo standartus, todėl galite patikėti visus savo duomenis. Taip savo tinklapyje išdidžiai pristatomas elektroninis dienynas, kurio paslaugomis 918 mokyklų naudojasi 187512 mokiniai, 23582 mokytojų, o didžiausias – tėvų arba globėjų skaičius – net 277681. Tai yra antras pagal populiarumą elektroninis dienynas Lietuvoje.

Tačiau vienas prieš trejus metus programavimu susidomėjęs moksleivis atliko nedidelį eksperimentą, kurio metu pademonstruota, kad „Mano dienyno“ duomenys nėra tokie saugūs, kaip tikina sistemos administratoriai.

13-metis aptiko skandalingą spragą: pusės milijono vaikų ir tėvų duomenys – it ant delno
© DELFI

„Pagrindinės skylės yra dvi: sistemos saugumo spraga tokia, kad galima atsisiųsti bet kokį failą iš sistemos pakeitus reikšmę“, – sakė jaunuolis, pabrėžęs, kad nenorėtų detaliau komentuoti, kaip galima aptikti spragą, mat ji nėra sutaisyta ir apie tai pasakoti viešai būtų neetiška.

Tiesa, viešai paraginti sutaisyti spragą, sistemos administratoriai – UAB Nacionalinio švietimo centras, kol kas to nepadarė netgi po to, kai 13-metis į juos kreipėsi laišku, detaliai aprašydamas minėtą spragą.

DELFI susisiekus su Nacionalinio švietimo centru, šio direktorius Giedrius Rakauskas sakė nieko nežinantis apie minėtą spragą ir tikino, jog laiškų ir užklausų taip pat nėra sulaukęs.

„Aš to nemačiau ir kol kas nieko negalėčiau komentuoti“, - sakė Nacionalinio švietimo centro direktorius.

Privatūs duomenys – pakeitus vos vieną skaičių

Kalbos apie tokią spragą sklido jau senokai. Pavyzdžiui dar pernai kovą internete sklido įrašas, kuriame paminėta ta pati Nacionalinio švietimo centro palikta spraga ir sistemos administratoriai apie tai negalėjo nežinoti.

13-metis aptiko skandalingą spragą: pusės milijono vaikų ir tėvų duomenys – it ant delno
© Facebook

Vis dėlto DELFI patikrinus informaciją, paaiškėjo, kad kibernetinio saugumo spraga iki šiol nesutvarkyta ir bet kuris asmuo potencialiai gali prisijungti prie dienyne esančių šimtų tūkstančių privačių duomenų – tereikia pakeisti vos vieną skaičių.

„Jaunuolis sako teisybę. Susirašinėjant mokytojams, jų tėvams ar kitiems manodienynas.lt sistemos naudotojams, susirašinėjimo metu prie laiškų prisegtos bylos tampa prieinamos visiems sistemos vartotojams nepriklausomai nuo to, ar laiškai buvo adresuoti jiems, ar ne.

Bėda ta, kad dienyno sistema tikrina tik faktą, ar vartotojas yra prisijungęs, bet neturi jokio patikros mechanizmo ar sistemoje gulinti byla yra skirta tam vartotojui, ar bet kuriam kitam.

Kita bėda ta, kad visos prie laiškų prisegamos bylos nesaugiai išsaugomos su vis didėjančiu skaitinių identifikatoriumi, tad norint parsisiųsti bet kurį kitą failą jo pavadinimo spėlioti nereikia, užtenka pakeisti skaičiuką nuorodoje.

Tarkim jei jums adresuotame laiške bylos nuoroda turėjo skaičių 100, šį skaičių pakeitus į 99 bus parsiųsta prieš tai įkelta byla, tikėtina, visai kito vartotojo ir iš kito susirašinėjimo“, – DELFI sakė vienas IT specialistas.

Jo teigimu, svarbu ir tai, kad šia dienyno sistema naudojasi ne viena mokykla, tad prie vidinių susirašinėjimų prisegtų bylų yra tūkstančiai. Prieš parsisiunčiant failus, apie jų turinį nėra žinoma, tačiau parsisiuntus jų dešimtis ar šimtus, jau galima analizuoti kokiais dokumentais privačiai keičiasi mokytojai ir mokinių tėvai.

„Pabandžius tai atlikti matome, kad tarp bylų yra ir įvairių protokolų, mokinių asmens duomenų suvestinių, įvairių pažymų, mokytojų darbų planų ir k.t.“, – sakė IT specialistas.

Programuoti išmoko pats

Spragą aptikęs mokinys kibernetiniu saugumu tikina pradėjęs domėtis vos 10 metų, kai žaisdamas žaidimą „Minecraft“ ėmė programuoti. Jis greitai suprato, kad didžiausios spragos sistemose yra žmonės, kurie turi prieigą ir gali manipuliuoti duomenimis.

„Kitas veiksnys – kai žmonės, kurie instaliuoja internetinius puslapius, netinkamai juos konfigūruoja, leidžia prisijungti prie administravimo valdymo“, – teigė vaikinas.

„Jis labai talentingas, mes labai džiaugiamės tokiais mokiniais. Jis pats savarankiškai išmoko programuoti žiūrėdamas „Youtube“ filmukus, pamokėles, o dabar mokinys jau dirba kryptingai IT būrelyje“, – sakė Vilniaus Barboros Radvilaitės progimnazijos direktorė Inga Vargalienė. Mokykloje mokosi 735 mokiniai ir 84 mokytojai bei pedagoginiai darbuotojai.

Direktorės teigimu, „Mano dienyne“ saugomi tėvų, vaikų susirašinėjimo duomenys, pavyzdžiui, vaikų pažymiai, lankomumo statistika, o taip pat ir vaikų ligų, sveikatos duomenys, asmeniniai kontaktai, gyvenamosios vietos adresai. I. Vargalienė pabrėžė, kad į Nacionalinio švietimo centrą kreipėsi ir pats mokinys, ir mokyklos administratorė, tačiau jokio atsakymo iki šiol nesulaukė.

Griežtai draudžiama DELFI paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti DELFI kaip šaltinį.
Populiariausios nuomonės
Parašykite savo nuomonę
arba diskutuokite anonimiškai čia
Skelbdami savo nuomonę, Jūs sutinkate su taisyklėmis
Rodyti diskusiją Rodyti diskusiją

Top naujienos

Karbauskis atrėžė Grybauskaitei: į prezidentūrą iki rinkimų kojos nekels (319)

„Valstiečių žaliųjų“ lyderis Ramūnas Karbauskis užbrėžė raudoną liniją santykiuose...

„Žalgirį“ premijomis motyvavęs Motiejūnas paslapčia pildo galimų naujokų sąrašą (10)

Neįtikėtinai sėkmingas „Žalgirio“ sezonas suteiks klubui tvirtą finansinį pagrindą, kuris...

Dalia Grybauskaitė – apie „paskolas dėžutėse“, VSD pažymas ir „Agroverslo“ susiliejimą su politika išskirtinis interviu (544)

Prezidentė Dalia Grybauskaitė mano, kad teisėsauga turi labai atsargiai galvoti, kokius slaptus...

VSD kreipėsi į prokuratūrą „dėl neteisėtai paviešintos žvalgybos informacijos“ (14)

Valstybės saugumo departamentas ( VSD ) trečiadienį kreipėsi į Generalinę prokuratūrą dėl...

Medeina Čijauskaitė: gimdamos moterimis mes jau pralaimėjome gyvenimo loterijoje (148)

Justės ašaros byra ant kompiuterio klaviatūros. Aplink sėdintys kolegos nejaukiai muistosi, kelios...

Siūlo lygiuotis į Vokietiją ir Šiaurės Italiją: jei gali jie, kodėl negalėtume ir mes? (9)

Praėjusią savaitę nevyriausybinės organizacijos VšĮ „Žiedinė ekonomika“ ir...

Šimašiaus ultimatumas Skverneliui: arba pritariat, arba nacionalinio stadiono nebus (269)

Vilniaus meras Remigijus Šimašius sako, kad per porą savaičių negavus Vyriausybės pritarimo,...

Pamatytas vaizdas sukrėtė skaitytoją: ar tik vaistinės darbuotojai nesityčioja iš neįgaliųjų?

Į DELFI redakciją kreipėsi moteris, kurią papiktino Lietuvos sveikatos mokslų universiteto ( LSMU...

Ruošiasi gydymo įstaigų pertvarkai: paslaugos nutols nuo pacientų? (98)

Vyriausybei trečiadienį nutarus Seimui teikti pataisas, kurios leistų optimizuoti gydymo įstaigų...

Ugniagesiai gelbėjo į melioracijos griovį nuvairavusį nelaimėlį (2)

Lazdijų rajone, Šadžiūnų kaime, į melioracijos griovį šalia užpelkėjusios Ilgio ežero...