Na državnom sajtu za upis u srednje škole nezaštićeni podaci učenika, Poverenik pokreće nadzor nad Ministarstvom prosvete

Institucija Poverenika za informacije od javnog značaja i zaštitu podataka o ličnosti pokrenuće nadzor nad Ministarstvom prosvete, nauke i tehnološkog razvoja zbog sajta za upis u srednje škole mojasrednjaskola.gov.rs na kojem je moguće otkrivanje imena i prezimena učenika, iako se pristupa isključivo uz pomoć individualnih osmocifrenih šifri, piše Nova ekonomija.

O problematičnom sajtu govorilo se pre nekoliko dana kada je grupa korisnika na Redditu primetila da sajt nema adekvatnu zaštitu i da bi bilo moguće skriptom izvršiti brute-force napad na brojevima od 10000000 do 99999999 kako bi se dobio pristup podacima učenika. 

Do problema dolazi jer server šalje pretraživaču ime učenika iako se ono ne koristi na prikazu stranice i samim tim se obesmišljava cela poenta uvođenja šifre učenika. Imajući u vidu da prilikom unošenja šifri nije potrebna autentifikacija, pristup objedinjenoj bazi koja sadrži sve lične podatke učenika je umnogome olakšan.

Onaj napaćeni portal https://t.co/9k5xWgZU0E od @MPNTR omogućava uvid u podatke koji bi trebali biti privatni jer server šalje pretraživaču ime učenika iako se ne koristi na prikazu stranice i samim tim obesmišljava celu poentu uvođenja šifre učenika. @PoverenikRS [1/n] pic.twitter.com/fTuP1N9pPl

— Miloš (@milos_rs_) June 28, 2021

Da ovaj propust omogućava neovlašćeno preuzimanje baze podataka svih učenika u sistemu koja bi sadržala njihovo ime, prezime, ime škole, ali i ocene iz svih predmeta od šestog do osmog razreda, uključujući i rezultate završnih ispita, potvrdio je za Novu ekonomiju Filip Milošević iz SHARE fondacije.

Istom prilikom rekao je da ukoliko bi ovakvu bazu imali poslodavci ili biro za zapošljavanja, ukrštanjem podataka bi učenici mogli da budu predmet diskriminacije na konkursima za posao uvidom u njihove ocene iz pojedinih predmeta koje ne moraju nužno da oslikavaju njihovo znanje i u trenutku apliciranja za posao.

Hakerski napadi postaju sve učestaliji na privatne kompanije, ali i državne institucije širom sveta, o čemu svedoče i nedavni napadi na najveći američki naftovod i jednu od najvećih gejming kompanija. U isto vreme, Srbija uvodi niz digitalnih alata poput e-faktura i e-fiskalizacije sa ciljem da se olakša poslovanje privredi, a da pritom nije poznato koliko su ti sistemi pouzdani i bezbedni. Pojedini korisnici na Redditu pokrenuli su pitanje da li probleme poput ovog mogu imati i sajtovi eUprava i ePorezi, i koliko država brine o sajber bezbednosti u periodu kada pandemija nameće sve veću digitalizaciju.