U javnost su procurili osjetljivi podaci više od 560 hiljada hrvatskih učenika i nastavnika, što zvanično ulazi u red najvećih sigurnosnih incidenata u istoriji hrvatskih javnih institucija, prenosi Index.
Vijest o golemom curenju podataka iz domaćeg obrazovnog sistema pojavila se jednom online forumu, a kako javlja Dnevnik.hr, uvidom u bazu i direktnom provjerom potvrđeno je da su objavljeni podaci tačni i stvarni. Na forumu je osvanula kriptovana datoteka, a pretragom po imenima djece i njihovih školskih kolega utvrđeno je da se ne radi o lažnoj uzbuni ili testnim podacima.
Nakon uklanjanja duplih unosa, stručnjaci su na društvenim mrežama izračunali da baza sadrži tačno 563.509 jedinstvenih zapisa.
Svaki pojedinačni unos obuhvata ime i prezime učenika ili nastavnika, naziv škole (baza pokriva čak 1452 škole u Hrvatskoj), tip korisnika te službenu e-mail adresu s domenom @skole.hr.
Ko je sve na popisu i odakle su podaci iscurili?
Analiza strukture podataka otkrila je neobičan detalj koji bi mogao pomoći u lociranju izvora ovog sigurnosnog propusta. Naime, u bazi se bez problema mogu pronaći podaci učenika starijih razreda osnovnih škola, dok podataka za djecu iz nižih razreda uopšte nema.
Stručnjaci zbog toga razvijaju dvije teorije o tome kako je došlo do kompromitacije sistema.
Prva je da su podaci iscurili preko neke od propratnih školskih aplikacija.
Budući da se računi s domenom @skole.hr otvaraju odmah u prvom razredu, ali se za platforme poput Teamsa ili Officea 365 aktivno počinju koristiti tek u višim razredima, sumnja se na aplikaciju treće strane koja povlači bazu tek aktiviranih računa.
Iscurila starija sigurnosna kopija?
Druga pretpostavka je da se radi o curenju starije sigurnosne kopije (backupa) sistema. Na to upućuje činjenica da je brojka od 563 hiljade zapisa znatno veća od trenutnog broja aktivnih učenika u Hrvatskoj, što znači da baza sadrži i generacije koje su već izašle iz školskog sistema, dok djeca koja su tek nedavno sjela u školske klupe u nju nijesu ni bila upisana.
Budući da je riječ o ličnim podacima velikog broja maloljetnika, jasno je da izloženost imena i službenih adresa djece otvara opasan prostor za phishing napade i različite internetske zloupotrebe.
Zvanično oglašavanje Ministarstva znanosti i obrazovanja o ovom incidentu još se čeka.