Вчера новостные ленты всколыхнула новость об утечке 48 тысяч строк пользователей регионального портала навигатора дополнительного образования. Под катом будет моё мнение о причинах произошедшего и немного личного опыта взаимодействия с этим сайтом.

Первым про это написал Коммерасантъ, позже новость разошлась по другим СМИ.

Про техническую часть утечки было написано ещё 7 сентября. Пользователь под ником @DY6nyon5в статье "Где найти персональные данные детей и их родителей?" описывает уязвимость. По заверениям автора проблема с возможностью создания аккаунта организации и получения доступа к данным пользователей была известна техподдержке 6 месяцев назад.

Кроме того, я будучи школьником тоже столкнулся с этим зверем.

Как персональные данные оказываются в навигаторе?

Всё до безобразия просто. Региональные чиновники то ли сами, то ли по указу сверху – этого мы достоверно не знаем – закупают себе софт у ООО "Государство Детей". На портале госзакупок имеется множество региональных контрактов на "Оказание услуг по технической поддержке функционирования регионального информационного ресурса «Навигатор дополнительного образования детей в N-ской области»". Иногда они же выполняют услуги по "доработке функционала" портала.

Простой скролл списка занимает на видео без ускорения полторы минуты

После того как навигатор торжественно запущен в регионе местные чиновники от образования спускают указ директорам школ – всех зарегистрировать на этом чудесном портале, после чего классные руководители агитируют родителей и детей оставлять свои персональные данные в этом месте. Во всяком случае такая ситуация была в моём регионе

Родители должны зарегистрироваться. Почему и зачем? Начальство сказало.

Небольшое лирическое отступление:

Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных

1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным ...

Организационные косяки

Зачастую, к разработке государственного ПО относятся халатно. То тут, то там находятся дыры, косяки и утекают базы. Навигатор разрабатывали в 2017 году по заказу тогда ещё МинОбрНауки (ныне МинПросвещения). Потратили 9 175 000 рублей, целью закупки объявили: "Совершенствование механизмов участия ... в управлении развитием системы дополнительного образования детей с использованием ... навигатора ..." – звучит грозно. Если заглянуть в конкурсную документацию, то можно увидеть подробное описание портала и вот такие цели

Это всё прекрасно, но возникает два вопроса. Почему не использовать федеральный портал Госуслуг (либо региональные) и СМЭВ? Почему не провели аудит того что написали?

И тут мы плавно переходим к третьему пункту

Халатность и враньё

Следите на руками

• В 2017 году "Государство Детей" получает контракт по единственной заявке на участие и разрабатывает навигатор дополнительного образования. Проверок и аудитов кода не проводится. МинОбрНауки всё устраивает

• В 2020 году из разных концов страны поступают сообщения о принуждении к регистрации в нём же (автор сталкивался лично). В Омске даже статью в местной газете написали

• 7 сентября 2021 появляется уже упомянутая статья о уязвимости в навигаторе. По словам автора техподдержке о ней известно 6 месяцев

• 10 сентября в анонимном телеграм канале появляется утечка данных регионального р52.навигатор.дети (Нижегородская область)

• 14 сентября это замечает Коммерсантъ, нижегородские чиновники оправдываются и сообщают, что уязвимость устранена 10 сентября. Однако формы регистрации на момент публикации были доступны по прямой ссылке и аккаунты организаций регистрировались.

• 14 сентября вечером злоумышленники публикуют данные из ещё трёх регионов (по их словам это не всё что у них есть). После чего навигатор просто отключают.

• 15 сентября утром регистрация аккаунтов организаций отключена. Но подождите, вы же уязвимости устранили 10 сентября?

Эта ситуация ещё раз указывает на на простые истины.

1. Должен быть аудит кода. Не бумажный по принципу я тебе n тысяч рублей, а ты мне бумагу. что всё прекрасно. Должна проверятся информационная безопасность – даже школьник Вася прочитавший брошюру OWASP вам скажет, что регистрация в админку не должна торчать наружу.

2. Не должно быть принуждения к регистрации. Извините конечно, но если ваше дополнительное образование никому не нужно, то после регистрации он не появится. Особенно если в процессе нужно оставить свои ФИО, телефон и СНИЛС.

3. Должна быть адекватная реакция на сообщения об уязвимостях. Да да, спасибо мы починим – не починили. Опубликовали на хабре – не починили. Ой, злоумышленники всё скачали, а уязвимость две недели как у нас не работает.

Личный совет автора читателям. Не оставляйте своих данных где попало.

Всё сказанное в статье является личным мнением и поклёпом на уважаемых людей. Все факты не более чем выдумка, а совпадения случайны. Автор осуждает несанкционированный доступ к информационным системам в любых его проявлениях, равно как и любое нарушение законодательства РФ. Хорошего кода вам.