DELFI писал о 13-летнем подростке, который продемонстрировал, что если подключиться к популярному электронному дневнику и изменить одну цифру, можно получить доступ к персональной информации пользователей.
Mano dienynas (электронный дневник) отвечает всем требованиям и стандартам безопасности, поэтому можете доверить ему персональные данные. Об этом сказано на сайте электронного дневника, услугами которого пользуются 187 512 учеников, 23 582 учителей и 277 681 родителей и опекунов из 918 школ. Это второй по популярности электронный дневник в Литве.
Однако один школьник, который три года назад увлекся программированием, провел небольшой эксперимент, во время которого показал, что данные Mano dienynas далеко не так хорошо защищены, как уверяют администраторы.
"Есть две лазейки: система безопасности такова, что можно прислать любой файл из системы, изменив его значение", – сказал подросток, подчеркнув, что не хочет вдаваться в подробности, поскольку этот недостаток не устранен, а значит рассказывать подробно о нем неэтично.
Правда, администраторы системы – ЗАО Национальный центр образования (Nacionalinis švietimo centras), до сих пор не исправили эту ошибку, несмотря на то, что подросток написал им письмо и рассказал о недочетах.
Директор центра Гедрюс Ракаускас сказал DELFI, что ему об этом ничего не известно и что он никаких писем не получал.
Директор вильнюсской прогимназии им. Барборы Радвилайте Инга Варгалене отметила, что в Национальный центр образования обращался и сам ученик их школы и администратор, но никакого ответа они так и не получили.
Однако нашлись те, кто прокомментировал ошибку в системе, обнаруженную подростком. Правда, это было сделано в необычной форме. Уже в пятницу утром под статьей стали появляться комментарии человека, который подписывался как tai va.
"Интересно, как вы реагировали бы, если бы кто-то при помощи отвертки "проверил" безопасность дверцы вашей машины? И если бы дверца открылась, вам сообщил об этом, но при этом из машины что-то пропало? Я думаю, что дневнику нанесен ущерб – ведь компания не уполномочила подростка проверять безопасность системы. Более того – ущерб должен быть возмещен и взыскать его можно с родителей подростка", – писал комментатор.
"Интересно, как 13-летний докажет в суде, что он ничего не украл, не испортил и не нанес ущерб, когда компания захочет взыскать его с него или его родителей?", – вопрошал tai va, а на замечание, что в суде надо доказывать вину, а не невиновность, заверил, что ущерб нанесен, его уточняют, а личность нанесшего ущерб известна, несмотря на то, что никто об ущербе не говорил, а имя и фамилия 13-летнего подростка публично не называлась.
Комментаторы вскоре обратили внимание на то, что IP-адрес, с которого пишет tai va принадлежит Государственной инспекции по защите данных (ГИЗД).
На сайте ГИЗД сказано, что это ведомство "заботится о защите персональных данных человека при их использовании в профессиональных целях, чтобы защита данных в Литве отвечала юридическим требованиям Евросоюза".
"В основе государственной службы лежит правовой принцип. Поэтому ГИЗД и ее служащие могут решать и публично высказываться только по тем вопросам, которые входят в их компетентность. Вопросы подключения к информационным системам и нанесенный ущерб в данном случае явно не входят в сферу их компетентности.
Запугивание 13-летнего подростка и его родителей ответственностью - необоснованное, непропорциональное и незаконное. Тем более, что оставивший комментарий человек игнорирует обстоятельства, которые подтверждают, что действия подростка опасности не представляют и ущерба не нанесли.
Упразднение недочетов системы ничего общего с возмещением ущерба не имеют. Обнаружение недостатка и сообщение о нем может расцениваться как полезный для общества поступок", – сказал адвокат Bitė ir Čaikovski ADJUTO Анджей Чайковский.
Учитель подростка из проекта Turing school Лукас Каминскис подчеркнул, что такие действия работника ГИЗД вызывают сожаление.
"Это показывает непрофессиональность и необходимость менять этих людей, поскольку часто они живут в своих мирах, не понимая, как на самом деле надо заботиться о безопасности данных. А когда представители ведомств начинают угрожать, я думаю, ответственные лица должны взять на себя ответственность и подумать о структурных изменениях", – сказал Каминскис.
DELFI обратился в ГИЗД с просьбой прокомментировать, точно ли это их работники в комментариях запугивают подростков.
"Мы сожалеем и приносим извинения в связи со сложившейся ситуацией. Инспекция проведет расследование в связи с написанием комментариев с IP-адреса, принадлежащего ГИЗД и использованием рабочего оборудования в личных целях. Затем пересмотрят внутренние законы и предпримет соответствующие действия, чтобы подобное не повторилось", – сказала представитель ГИЗД Раминта Синкявичюте-Шечкувене, признав, что IP-адрес точно принадлежит их инспекции.
"Информация в комментариях - это не позиция инспекции, а мнение отдельного лица, однако с учетом того, что мнение высказано с помощью оборудования инспекции, ведомство предпримет меры для выяснения личности написавшей комментарии и превысившей свои полномочия, проведет служебную проверку", – прибавила она.
Расследование займет не больше 20 рабочих дней.
