Vijest o navodnom curenju osjetljivih podataka iz hrvatskog obrazovnog sistema, koja se danas, 28. juna, pojavila na internetu, dobila je potvrdu.

Na internet forumu je javno objavljena kriptirana datoteka koja sadrži stotine hiljada zapisa o učenicima osnovnih i srednjih škola u Hrvatskoj, a redakcija portala Dnevnik.hr imala je uvid u bazu podataka te direktnom provjerom utvrdila da su podaci tačni.

Iako se u prvim časovima nagađalo radi li se o lažnoj uzbuni ili nasumično generisanim testnim podacima, provjere stručnjaka na društvenoj mreži LinkedIn, kao i direktan novinara portala u dešifrirani sadržaj, potvrdili su sumnje.

Pretragom po imenima vlastite djece, kao i njihovih kolega i pripadajućim školama ustanovljeno je da baza sadrži stvarne i precizne podatke.

Autor posta je na Redditu - kojim je skrenuta skrenuta na ovu objavu s foruma - nakon uklanjanja duplih unosa (deduplikacije e-mail adresa), utvrdio da baza sadrži tačno 563.509 jedinstvenih zapisa.

Svaki pojedinačni zapis u bazi obuhvata:

Ime i prezime učenika ili nastavnika

Naziv institucije (baza pokriva čak 1452 škole u Hrvatskoj)

Tip korisnika (jasno razgraničenje: učenik/nastavnik/korisnik)

Zvaničnu e-mail adresu s domenom @skole.hr

Ko je na popisu, a ko nedostaje?

Analizirajući strukturu podataka, novinar je uočio važan detalj koji bi mogao otkriti izvor curenja ili starost same baze.

Naime, pretragom je utvrđeno da baza bez greške pronalazi podatke učenika starijih razreda osnovnih škola (naprimjer, učenika koji su sada završili šesti razred), dok podataka za učenike nižih razreda (poput završetka drugog razreda) - u bazi nema.

Ovaj podatak otvara dvije ozbiljne pretpostavke za računarske stručnjake koji pokušavaju izolirati bezbjednosni propust.

Kompromitacija popratnih aplikacija: Računi s domenom @skole.hr generišu se automatski pri upisu u prvi razred, ali se za platforme poput Teamsa, Officea 365 ili naprednih školskih aplikacija aktivno počinju koristiti tek u višim razredima.

Izvor curenja bi mogao biti treća strana, odnosno aplikacija koja povlači bazu tek aktiviranih računa.

Stariji "backup" sistema: Obzirom da je brojka od 563.000 zapisa znatno veća od trenutnog broja aktivnih učenika u Hrvatskoj, očito je da baza sadrži i generacije koje su već izašle iz školskog sistema.

To upućuje na curenje starije bezbjednosne kopije (backupa) u kojoj djeca koja su tek nedavno krenula u školu nisu ni bila upisana.

Jedan od najvećih propusta u istoriji

S obzirom na to da je riječ o kompromitaciji ličnih podataka velikog broja maloljetnih osoba, ovaj događaj zvanično ulazi u red najvećih bezbjednosnih incidenata u istoriji hrvatskih javnih institucija.

Izloženost imena, prezimena i zvaničnih adresa djece otvara ogroman prostor za potencijalne phishing napade i zloupotrebe.

Zvanična reakcija ministarstva još se čeka.