Lietuvoje kibernetinio saugumo suvokimas dar menkas. Tokį įspėjimą kartojantys ekspertai, regis, sulaukia tik linksėjimo galvomis, o į perspėjimus apie pavojingas spragas atsakingi asmenys vis dar nereaguoja. Tai įrodė vienas gabus 13- metis moksleivis, pademonstravęs, jog prisijungus prie populiaraus elektroninio dienyno ir pakeitus 1 skaičių atsiveria privati žmonių informacija.
© DELFI / Andrius Ufartas

„Mano dienynas“ atitinka visus šiuolaikinius interneto saugumo standartus, todėl galite patikėti visus savo duomenis. Taip savo tinklapyje išdidžiai pristatomas elektroninis dienynas, kurio paslaugomis 918 mokyklų naudojasi 187512 mokiniai, 23582 mokytojų, o didžiausias – tėvų arba globėjų skaičius – net 277681. Tai yra antras pagal populiarumą elektroninis dienynas Lietuvoje.

Tačiau vienas prieš trejus metus programavimu susidomėjęs moksleivis atliko nedidelį eksperimentą, kurio metu pademonstruota, kad „Mano dienyno“ duomenys nėra tokie saugūs, kaip tikina sistemos administratoriai.

13-metis aptiko skandalingą spragą: pusės milijono vaikų ir tėvų duomenys – it ant delno
© DELFI

„Pagrindinės skylės yra dvi: sistemos saugumo spraga tokia, kad galima atsisiųsti bet kokį failą iš sistemos pakeitus reikšmę“, – sakė jaunuolis, pabrėžęs, kad nenorėtų detaliau komentuoti, kaip galima aptikti spragą, mat ji nėra sutaisyta ir apie tai pasakoti viešai būtų neetiška.

Tiesa, viešai paraginti sutaisyti spragą, sistemos administratoriai – UAB Nacionalinio švietimo centras, kol kas to nepadarė netgi po to, kai 13-metis į juos kreipėsi laišku, detaliai aprašydamas minėtą spragą.

DELFI susisiekus su Nacionalinio švietimo centru, šio direktorius Giedrius Rakauskas sakė nieko nežinantis apie minėtą spragą ir tikino, jog laiškų ir užklausų taip pat nėra sulaukęs.

„Aš to nemačiau ir kol kas nieko negalėčiau komentuoti“, - sakė Nacionalinio švietimo centro direktorius.

Privatūs duomenys – pakeitus vos vieną skaičių

Kalbos apie tokią spragą sklido jau senokai. Pavyzdžiui dar pernai kovą internete sklido įrašas, kuriame paminėta ta pati Nacionalinio švietimo centro palikta spraga ir sistemos administratoriai apie tai negalėjo nežinoti.

13-metis aptiko skandalingą spragą: pusės milijono vaikų ir tėvų duomenys – it ant delno
© Facebook

Vis dėlto DELFI patikrinus informaciją, paaiškėjo, kad kibernetinio saugumo spraga iki šiol nesutvarkyta ir bet kuris asmuo potencialiai gali prisijungti prie dienyne esančių šimtų tūkstančių privačių duomenų – tereikia pakeisti vos vieną skaičių.

„Jaunuolis sako teisybę. Susirašinėjant mokytojams, jų tėvams ar kitiems manodienynas.lt sistemos naudotojams, susirašinėjimo metu prie laiškų prisegtos bylos tampa prieinamos visiems sistemos vartotojams nepriklausomai nuo to, ar laiškai buvo adresuoti jiems, ar ne.

Bėda ta, kad dienyno sistema tikrina tik faktą, ar vartotojas yra prisijungęs, bet neturi jokio patikros mechanizmo ar sistemoje gulinti byla yra skirta tam vartotojui, ar bet kuriam kitam.

Kita bėda ta, kad visos prie laiškų prisegamos bylos nesaugiai išsaugomos su vis didėjančiu skaitinių identifikatoriumi, tad norint parsisiųsti bet kurį kitą failą jo pavadinimo spėlioti nereikia, užtenka pakeisti skaičiuką nuorodoje.

Tarkim jei jums adresuotame laiške bylos nuoroda turėjo skaičių 100, šį skaičių pakeitus į 99 bus parsiųsta prieš tai įkelta byla, tikėtina, visai kito vartotojo ir iš kito susirašinėjimo“, – DELFI sakė vienas IT specialistas.

Jo teigimu, svarbu ir tai, kad šia dienyno sistema naudojasi ne viena mokykla, tad prie vidinių susirašinėjimų prisegtų bylų yra tūkstančiai. Prieš parsisiunčiant failus, apie jų turinį nėra žinoma, tačiau parsisiuntus jų dešimtis ar šimtus, jau galima analizuoti kokiais dokumentais privačiai keičiasi mokytojai ir mokinių tėvai.

„Pabandžius tai atlikti matome, kad tarp bylų yra ir įvairių protokolų, mokinių asmens duomenų suvestinių, įvairių pažymų, mokytojų darbų planų ir k.t.“, – sakė IT specialistas.

Programuoti išmoko pats

Spragą aptikęs mokinys kibernetiniu saugumu tikina pradėjęs domėtis vos 10 metų, kai žaisdamas žaidimą „Minecraft“ ėmė programuoti. Jis greitai suprato, kad didžiausios spragos sistemose yra žmonės, kurie turi prieigą ir gali manipuliuoti duomenimis.

„Kitas veiksnys – kai žmonės, kurie instaliuoja internetinius puslapius, netinkamai juos konfigūruoja, leidžia prisijungti prie administravimo valdymo“, – teigė vaikinas.

„Jis labai talentingas, mes labai džiaugiamės tokiais mokiniais. Jis pats savarankiškai išmoko programuoti žiūrėdamas „Youtube“ filmukus, pamokėles, o dabar mokinys jau dirba kryptingai IT būrelyje“, – sakė Vilniaus Barboros Radvilaitės progimnazijos direktorė Inga Vargalienė. Mokykloje mokosi 735 mokiniai ir 84 mokytojai bei pedagoginiai darbuotojai.

Direktorės teigimu, „Mano dienyne“ saugomi tėvų, vaikų susirašinėjimo duomenys, pavyzdžiui, vaikų pažymiai, lankomumo statistika, o taip pat ir vaikų ligų, sveikatos duomenys, asmeniniai kontaktai, gyvenamosios vietos adresai. I. Vargalienė pabrėžė, kad į Nacionalinio švietimo centrą kreipėsi ir pats mokinys, ir mokyklos administratorė, tačiau jokio atsakymo iki šiol nesulaukė.

Griežtai draudžiama DELFI paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti DELFI kaip šaltinį.
Populiariausios nuomonės
Parašykite savo nuomonę
arba diskutuokite anonimiškai čia
Skelbdami savo nuomonę, Jūs sutinkate su taisyklėmis
Rodyti diskusiją Rodyti diskusiją

Top naujienos

Tomas Janonis. Seime bręsta labai pavojingas planas (56)

Valstietiška Seimo dauguma susidūrė su rimtu išbandymu. Žvejai verslininkai turi planų po...

Į Lietuvą žengia vienas didžiausių Lenkijos kelionių organizatorių (142)

Daugumą poilsinių kelionių per daugelį pastarųjų metų Lietuvos gyventojai tiesiogiai ar...

Pasaulį pribloškusi „gražuolių armija“: už besišypsančių veidų – tragiška realybė net vonios kambariu naudojasi grupelėmis (4)

Idealiu veiksmų suderinamumu pasaulį sužavėjusi Šiaurės Korėjos sportininkų palaikymo komanda...

Valionis: Lietuva sulaužė Latvijai duotą pažadą ir ilgam sugadino santykius (101)

Lietuva buvo pažadėjusi Latvijai paremti jos siekį šalia Rygos statyti suskystintų gamtinių...

Po nesėkmių Sirijoje Rusija sugalvojo naują planą (137)

Rusijos generalinis štabas įsakė Rusijos ginkluotųjų pajėgų kariams pasirūpinti, kad dviejų...

Karbauskis dėl „Pirmosios kavos“ ir „TV Play“ kreipėsi į Europos kovos su sukčiavimu tarnybą (465)

Seimo Lietuvos valstiečių ir žaliųjų (LVŽS) frakcijos seniūnas Ramūnas Karbauskis kreipėsi į...

„Sodros“ grindų efektas: kai kurių paslaugų kainos gali augti (141)

Kaip ir įspėjo kai kurie darbdaviai, „Sodros“ grindys kirto iš peties ir įmonės atleido...

Sveikatos apsaugos ministerija keičia požiūrį į sergančius ŽIV (42)

Sveikatos apsaugos ministras Aurelijus Veryga pasirašė įsakymą, pagal kurį nuo šiol bus galima...

Meilė sportui neturi ribų: milijonų lietaus nestabdo net rimti perspėjimai (74)

Sostinės politikai patvirtino šių metų biudžetą, kuriame numatyta daugiau kaip 2,6 mln. eurų...