Vijest o navodnom curenju osjetljivih podataka iz hrvatskog obrazovnog sustava, koja se danas pojavila na internetu, nažalost je dobila potvrdu.
Na internetskom forumu je javno objavljena kriptirana datoteka koja sadrži stotine tisuća zapisa o učenicima osnovnih i srednjih škola u Hrvatskoj, a redakcija portala DNEVNIK.hr imala je uvid u bazu podataka te izravnom provjerom utvrdila da su podaci nažalost točni.
Imena, škole i e-mailovi su stvarni
Iako se u prvim satima nagađalo radi li se o lažnoj uzbuni ili nasumično generiranim testnim podacima, provjere stručnjaka na društvenoj mreži LinkedIn, kao i izravan uvid novinara portala DNEVNIK.hr u dešifrirani sadržaj, potvrdili su sumnje. Pretragom po imenima vlastite djece, kao i njihovih kolega i pripadajućim školama ustanovljeno je da baza sadrži stvarne i precizne podatke.
Autor je posta na Redditu – kojom je skrenuta pozornost na ovu objavu s foruma – nakon uklanjanja duplih unosa (deduplikacije e-mail adresa), utvrdio da baza sadrži točno 563.509 jedinstvenih zapisa.
Svaki pojedinačni zapis u bazi obuhvaća:
Ime i prezime učenika ili nastavnika
Naziv institucije (baza pokriva čak 1452 škole u Hrvatskoj)
Tip korisnika (jasno razgraničenje: učenik/nastavnik/korisnik)
Službenu e-mail adresu s domenom @skole.hr
Nema podataka o učenicima nižih razreda
Analizirajući strukturu podataka, novinar portala DNEVNIK.hr uočio je važan detalj koji bi mogao otkriti izvor curenja ili starost same baze. Naime, pretragom je utvrđeno da baza bez greške pronalazi podatke učenika starijih razreda osnovnih škola (primjerice, učenika koji su sada završili šesti razred), dok podataka za učenike nižih razreda (poput završetka drugog razreda) – u bazi nema.
Ovaj podatak otvara dvije ozbiljne pretpostavke za računalne stručnjake koji pokušavaju izolirati sigurnosni propust:
Kompromitacija popratnih aplikacija: Računi s domenom @skole.hr generiraju se automatski pri upisu u prvi razred, ali se za platforme poput Teamsa, Officea 365 ili naprednih školskih aplikacija aktivno počinju koristiti tek u višim razredima. Izvor curenja stoga bi mogao biti treća strana, odnosno aplikacija koja povlači bazu tek aktiviranih računa.
Stariji “backup” sustav: Budući da je brojka od 563 tisuće zapisa znatno veća od trenutnog broja aktivnih učenika u Hrvatskoj, očito je da baza sadrži i generacije koje su već izašle iz školskog sustava. To upućuje na curenje starije sigurnosne kopije (backupa) u kojoj djeca koja su tek nedavno krenula u školu nisu ni bila upisana.
S obzirom na to da je riječ o kompromitaciji osobnih podataka golemog broja maloljetnih osoba, ovaj događaj službeno ulazi u red najvećih sigurnosnih incidenata u povijesti hrvatskih javnih institucija. Izloženost imena, prezimena i službenih adresa djece otvara ogroman prostor za potencijalne phishing napade i zloupotrebe.
