Prema informacijama koje je objavio DNEVNIK.hr, novinar Domagoj Zovak provjerio je dio objavljenih podataka te potvrdio njihovu vjerodostojnost. Usporedbom imena učenika i škola utvrđeno je da se radi o stvarnim osobama i stvarnim podacima iz hrvatskog obrazovnog sustava.
Više od pola milijuna zapisa iz 1452 škole
Analizom baze, nakon uklanjanja dvostrukih unosa, utvrđeno je da sadrži čak 563.509 jedinstvenih zapisa koji se odnose na učenike osnovnih i srednjih škola te nastavnike iz 1452 škole diljem Hrvatske.
Svaki zapis sadrži ime i prezime korisnika, oznaku radi li se o učeniku ili nastavniku te službenu e-mail adresu s domenom @skole.hr.
Iako objavljeni podaci ne uključuju lozinke, stručnjaci upozoravaju da i ovakve informacije mogu predstavljati ozbiljan sigurnosni rizik jer omogućuju ciljane phishing napade i druge oblike internetskih prijevara.
Analiza upućuje na moguće porijeklo curenja
Posebno zanimljiv detalj otkriven je analizom same baze.
Naime, u njoj se nalaze podaci učenika viših razreda osnovnih škola, primjerice sadašnjih šestaša, dok podaci učenika nižih razreda gotovo u potpunosti nedostaju.
Takav obrazac doveo je stručnjake do dvije moguće pretpostavke.
Prva je da je kompromitirana neka od pomoćnih aplikacija povezanih sa školskim digitalnim sustavima, poput Microsoft Teamsa ili Officea 365, koje učenici intenzivnije počinju koristiti tek u višim razredima. U tom bi slučaju podaci mogli biti kompromitirani preko treće strane, a ne izravno iz državnog sustava.
Druga mogućnost jest da se radi o starijoj sigurnosnoj kopiji (backupu) baze podataka koja je naknadno procurila na internet. To bi objasnilo zašto broj zapisa premašuje broj trenutačno aktivnih učenika te zašto u bazi nema najmlađih generacija.
Moguće ozbiljne posljedice
Objava ovakve baze predstavlja ozbiljan sigurnosni problem jer uključuje velik broj maloljetnih osoba.
Sigurnosni stručnjaci upozoravaju da bi kriminalci objavljene podatke mogli iskoristiti za izradu uvjerljivih lažnih poruka elektroničke pošte, pokušaje krađe korisničkih računa ili druge oblike internetskih prijevara usmjerenih prema učenicima, roditeljima i nastavnicima.
Takvi napadi često koriste upravo stvarna imena, školske adrese i druge poznate informacije kako bi stekli povjerenje žrtava.
Čeka se reakcija nadležnih
U trenutku objave informacije službeno očitovanje Ministarstva znanosti, obrazovanja i mladih još nije bilo dostupno.
Očekuje se da će nadležne institucije utvrditi izvor curenja podataka, procijeniti razmjere sigurnosnog incidenta te poduzeti mjere kako bi se spriječile moguće zlouporabe i zaštitili korisnici školskog informacijskog sustava.
Slučaj bi mogao otvoriti i pitanja odgovornosti za zaštitu osobnih podataka u javnim informacijskim sustavima, posebno kada je riječ o podacima djece i maloljetnih osoba, koji prema europskim propisima uživaju najvišu razinu zaštite.
izvor:dnevnik.hr
foto:ilustracija
