Где найти персональные данные детей и их родителей? Узнать школу и кружки в которых учатся и занимаются дети, а самое главное, что для этого нужно?
Некое время назад (примерно полгода) со стороны нашего правительства (министерства образования) поступил “приказ”, что мол необходимо чтоб все родители записывали своих детей на кружки через “навигатора”. Участь не обошла и меня, надо записывать. Но посмотрите какие аппетиты у этой системы:
Регистрация родителя
Добавляем ребенка
Так себе ребенок 29 лет если что, но оно схавало.
После этого необходимо подтвердить данные ребенка, для этого нужно физически посетить одно заведение из списка там потребуется СНИЛС, который будет занесен в эту же базу.
Путем недолгих поисков и расспросов было выявлено, что у сайта р52.навигатор.дети есть поддомен для администраторов админка52.навигатор.дети
Что там можно найти? Вроде бы ничего подозрительного – обычная форма входа в админку, а также кнопки входа и регистрации. Секунду, я могу зарегистрировать администратора? А почему бы и да.
Ну и что вот мы зарегистрировались, теперь у нас есть аккаунт организации, и что, солить его? Да нет. Немного изучив его интерфейс мое внимание привлекла одна кнопка
давайте нажмем пронеслось в моей голове, ну что же, сказано – сделано, нажимаем пишем фамилию и о чудо, вот и мои “дети”
А теперь самое интересное, если начать стирать текст, то мы увидим это:
Первая мысль, секунду, а что, я могу получить сразу все? Да, но нет. В чем соль при опустошении формы, можно увидеть следующий запрос:
/kid?_dc=<Unix time>&special=1&page=1&start=0&length=5
А в ответ получить список из 5 человек, с 1 страницы, начиная с 0, значение параметра “special” тоже влияет на то, кого я получу, но как – пока до конца понял. В запросе передается много дополнительных элементов (основной – это заголовок “Authorization”, содержащий ключ).
Что получаем в ответ (JSON):
"id": "*********-****-****-****-**********", |
- |
"site_user_id": "*******", |
- |
"first_name": "Твою", |
Имя |
"patro_name": "Безопасность", |
Отчество |
"last_name": "Ятестирую", |
Фамилия |
"birthday": "*******", |
дата рождения |
"snils": null, |
номер СНИЛС |
"is_approved": false, |
СНИЛС подтвержденный? |
"approve_user_id": null, |
кто подтвердил |
"certificate_id": "******************", |
номер сертификата |
"municipality_id": "4", |
номер муниципалитета |
"is_deleted": false, |
аккаунт удален |
"date_created": "*******", |
дата создания |
"date_updated": "*******", |
дата обновления информации |
"date_approved": "", |
дата подтверждения информации |
"sex": "W", |
пол |
"address_region": "", |
регион проживания |
"address_area": "", |
область проживания |
"address_address": "", |
адрес проживания |
"address_zip": "", |
индекс |
"lastmodified": "*******", |
последнее обновление |
"org_type": null, |
- |
"org_name": null, |
- |
"age": 13, |
возраст |
"fio": "Ятестирую Твою Безопасность", |
ФИО |
"parent_fio": "Ятестирую Твою Безопасность", |
ФИО родителя |
"parent_email": "*******@*****", |
почта родителя |
"parent_phone": "************", |
номер телефона родителя |
"is_resident": true, |
- |
"order_count": 0, |
- |
"approve_user_partner_id": null, |
кто подтвердил информацию о родителе |
"certificate_number": "************", |
номер сертификата |
"certificate_date_start": null, |
- |
"certificate_date_end": null, |
- |
"certificate_amount_type": "RUB", |
расчетная валюта |
"certificate_amount_total": 0, |
на счету |
"certificate_amount_on_hold": 0, |
- |
"certificate_amount_withdraw": 0, |
- |
"certificate_amount_current": 0, |
- |
"certificate_type": "undefined", |
- |
"certificate_request": null, |
- |
"certificate_request_processed": false, |
- |
"noko_kid_result_section_total": 0, |
- |
"municipality_name": "ГО Выкса" |
название муниципалитета |
Что же, настало время проверить этот сервер на отказоустойчивость. Чтобы не усложнять задачу, было решено прикрутить к этому сайту небольшой скрипт, прямо через консоль отладки.
Создаем нагрузку, не найдут ли в нас робота? Не найдут, 10 запросов в секунду из 5 потоков параллельно с разными смещениями (параметр start в запросе) в течении 10 минут подряд не привели ни к какому изменению в правах доступа к данным аккаунта. И только через 30 минут истекла сессия. Придется войти в аккаунт снова и можно продолжать.
Ну хорошо, а что дальше? Да ничего, об этой проблеме было сообщено в поддержку сервиса, в ответ на что мне заблокировали аккаунт и собственно всё, но через 6 месяцев “дырку” не залатали.
Думаю, не надо говорить, что можно сделать, зная все эти данные. Тут все – от тревожных звонков родителям, и до похищений.
Зачем, кто и чем думал при создании такого, а самое главное зачем наше правительство решило загнать всех людей в эту систему – для меня остается загадкой.
Никакая информация с данного ресурса не была сохранена и/или передана третьим лицам, а также получена способом, не предусмотренным для этого. Данная статья написана исключительно в ознакомительных целях, да и вообще является плодом воображения, действие в котором происходит в неидеальном мире.
Комментарии (46)
ifap
07.09.2021 20:07Некое время назад (примерно полгода) со стороны нашего правительства (министерства образования) поступил “приказ”, что мол необходимо чтоб все родители записывали своих детей на кружки через “навигатора”. Участь не обошла и меня, надо записывать.
Хм, странный вывод… я бы послал на 3 известные буквы с таким «приказом», и это не TLS ;)
AigizK
08.09.2021 08:48+1С учетом того, что такие сайты есть у всех регионов и всех родителей школьников заставили там ввести данные, у кого то(кроме государства) есть хорошая база :(
AigizK
08.09.2021 09:40+9
посмотрим что ответят
Bonio
08.09.2021 10:08+1А не могут за неправомерный доступ привлечь? Я б не рискнул сообщать.
AigizK
08.09.2021 10:18По сути ничего не ломали и доступ предоставлен ими официально.
Bonio
08.09.2021 10:20+1Ао сути да, но мы же знаем, как у нас могут всё перевернуть. Поэтому и не рискнул бы. Напишите потом по результатам, когда ответят.
AigizK
08.09.2021 10:32+18Если не напишу ответ в течение 30 дней, вы знаете где меня искать
AigizK
22.10.2021 07:48Сегодня получил итоговый ответ. Напишу хронологию:
8.09.2021 я отправил обращение в прокуратуру.
5.10.2021 получил от них ответ, что письмо перенаправили в Министерство цифрового развития
7.10.2021 минцифры отписались, что получили письмо
7.10.2021 Роскомнадзор прислал уведомление о регистрации обращения
21.10.2021 Генпрокуратура переслала ответ от Роскомнадзора мне. Вот сам текст:
Возможность несанкционированного доступа к персональным данным пользователей АИС отсутствует.Для зарегистрированных в АИС организаций поставщиков услуг ограничен функционал, позволяющий найти данные субъекта персональных данных только по конкретному запросу, по данным известным поставщику услуг. Результат выдачи ограничен 5 (пятью) записями, для защиты от перебора данных.Таким образом, доводы о возможности получения доступа к персональным данным пользователей АИС методом перебора данных не подтверждены.Что могу сказать:
Да, там выводили по 5 записей, но перебирая буквы в полях ФИО, можно было подобрать все данные. Выше даже curl показали. Ну и с другой стороны, эти 5 записей не являются персональными данными? Вроде в законе не прописано, что можно потерять до N записей. Т.е. банальная отписка, что у нас все хорошо.
После того как написал обращение в прокуратуру, на сайте навигатора оставил сообщение, что у них дыра в безопасности, и что обращение оставлено. Возможно из за слова прокуратура они быстро среагировали. На следующий день был закрыт доступ к аккаунту, а потом и регистрацию убрали полностью. Через некоторое время регистрацию вернули, но апи поиска детей закрыли полностью. Сейчас регистрация закрыта, выдает такую ошибку Запрещена регистрация: in /base/app/www/protected/modules/navigatorPartners/components/forms/NavigatorPartnerRegisterForm.php at line 24
Что можно сделать на месте разработчиков сайта:
Исходить из того, что вся база у них может быть слита каким то образом. Поэтому лучше удалить всю ненужную информацию, такие как номер телефонов родителей, адрес проживания. Тогда после слива, людям будет нанесен минимальный ущерб.
Сейчас у кого есть доступ к сайту, могут так же продолжать получать всю информацию о детях. Поэтому надо поменять логику работы. Например организация может видеть только тех детей, кто к ним записан. Для этого родители, классные руководители или кто то еще заходит под ником ученика и отмечает организацию, тем самым дает согласие на обработку.
Gryphon88
08.09.2021 14:00+4Иногда я мечтаю, что будет опенсорсный набор обязательных шаблонов "Сайт госучреждения": больница, школа, вуз, МФЦ, кого там ещё обязали завести сайты? И всё это будет хоститься в ведомственном государственном датацентре и поддерживаться одним отделом. Безобразно, зато единообразно, понятно, кто крайний, и не требуются непрофильные затраты и специалисты.
euroUK
08.09.2021 14:15+2А как тогда кормиться?
Когда 60+ процентов экономики - это государство, наличие таких шаблонов просто оставит без работы кучу простых людей и чиновников без денег.
П.С. 3 млн в конторку из которых половина небось откат - это совсем немного так-то.
Nepherhotep
08.09.2021 18:37+1Да, но сайт будет открываться только в Internet Explorer, а авторизация - через флешку для Windows XP.
Popadanec
08.09.2021 18:50Зачем вообще отдельные сайты. Их же надо запоминать/поддерживать и т.п.
Единый гос сайт в котором можно выбрать(желательно однажды, но с возможностью быстро сменить) регион/город/район и будут ссылки на все гос учреждения актуальные для гражданина странички. С авто подтягиванием всех нужных данных из учётки госуслуг.
Главное делать с резервированием/защитой для устойчивости к падениям/перегрузкам/атакам.Gryphon88
08.09.2021 18:54+1Главное делать с резервированием/защитой для устойчивости к падениям/перегрузкам/атакам.
Как показывает практика электронной трудовой, с автоматикой, резервированием и устойчивостью как-то не получается. Так что дуракоустойчивость проще поддерживать отдельными сайтами, выбор региона вручную, а подтягивание и авторизацией уже при общении с учреждением, например, при записи к врачу.
Popadanec
08.09.2021 19:05+1С электронной трудовой всё оказалось нормально, это просто редактор Хабра хайпанул добавив желтизны в публикацию.
Gryphon88
09.09.2021 11:19+1Авторы комментариев тоже хайпожоры? С электронной медкартой я лично неоднократно влетал, так что для всего критичного имею бумажную копию.
Popadanec
09.09.2021 12:12Наличие бумажной копии или даже оригинала не спасёт от проблем. Та же ПФР спокойно признаёт записи в бумажной трудовой недостоверными, если они её чем то не устраивают. И бегайте потом ищите давно закрытую фирму. А уж если трудовую потерял, то вообще весело.
Сколько раз у меня теряли бумажную мед карту и соотв историю, я уже и не упомню.
Электронная, при наличии адекватной реализации безопасности всё же лучше и удобней.Gryphon88
09.09.2021 12:21+1Да, но для суда и прочего забега по инстанциям бумага является хорошим доказательством. Знаете, отвести пару полок шкафа под архив и снимать копии документов совсем недорого. Кстати, медкарту тоже можно попросить на руки (целиком, копию или выписку) при переходе между больницами.
С реализацией надёжности и безопасности проблема в первую очередь организационная, а государство не боится репутационных потерь и иммунно к финансовым, так что надеяться, что государство или иной монополист сделает хорошо хотя бы со второго раза - неумеренный оптимизм. Всё-таки когда у проблемы есть конкретное ФИО жить значительно проще.
Popadanec
09.09.2021 13:14Если фирма в которой вы работали сделала запись в трудовой, но не платила за вас отчисления, то никакой суд не поможет. А таких случаев было много. Сейчас по проще, работник может онлайн проверить отчисления записи в трудовой.
А с бумажной не заверенной копией вас органы пошлют точно так же. Можно запрашивать электронную выписку периодически(в госуслугах так к примеру можно электронную выписку из трудовой сделать). И она даже будет заверена цифровой подписью и иметь какую то юридическую силу.Gryphon88
09.09.2021 13:56Если фирма в которой вы работали сделала запись в трудовой, но не платила за вас отчисления, то никакой суд не поможет.
Это да, но обычно при увольнении выдаётся комплект справок, в том числе 2-НДФЛ, чтобы сколь-нибудь оперативно проверить факт отчислений.
А с бумажной не заверенной копией вас органы пошлют точно так же.
Не спорю, делаю их для предоставления туда, где не нужна заверенная, результатов анализов, например.
Popadanec
09.09.2021 14:002НДФЛ можно брать в любое время и без всяких поводов(или придумав его, если работодатель упрямится).
Да и проверить отчисления проще на сайте налоговой. Но мало кто это делает, а многие не знают/умеют.Gryphon88
09.09.2021 14:04Можно, но надо знать про существование такой штуки :) А при увольнении выдавать должны даже тем, кто в налоговых делах ни бум-бум, и тут для повышения финансовой грамотности достаточно спросить "ачтоэта?" :)
EDIT кстати, при оформлении возвратов за лечение налоговая упорно хочет скан бумажного 2НДФЛ, вместо того чтобы подсосать его из своей базы.
Popadanec
09.09.2021 14:16Это потому что так прописано в правилах, которые не помешает обновить, но сотрудники выполнять обязаны. И это даже периодически делают.
Я не так давно менял прописку, так в МФЦ понадобился только паспорт, остальные документы подтянулись из госуслуг.
wadeg
09.09.2021 14:38Поэтому (много лет работает):
1. Скачиваем его в виде pdf
2. Отравляем этот pdf им же
3. Gescheft!
Popadanec
09.09.2021 15:06Эта ерундистика много где встречалась, но в последние годы хоть устранять взялись.
wadeg
09.09.2021 15:45Кто взялся где? В этом году еще было так же. Никто ничего не меняет, и никаких признаков, что хотя бы собирается.
TigerClaw
Проблема сервиса, что вообще нет проверки данных при регистрации и разрешается свободная регистрация.
Вы должны были отписать об ошибке в сам сервис, а не тут выкладывать.
UPD: Да вы отписали, но выкладывать баг тут все же было не хорошо. Есть и другие органы, куда стоило сообщить о баге.
hottabxp
Спортлото?
TigerClaw
Ну как минимум там вопрос по линии 152-ФЗ, а это Роскомнадзор. Плюс я думаю данной информацией заинтересовались бы и другие курирующие органы. Проблема очень серьезна и самое последнее, что можно было придумать, так это ждать 6 месяцев, а потом опубликовать на хабре. Он хоть не торт. Но считайте, что информацией владеют уже все. И сотни скрипкидисов парсят данные.
Arris
Роскомнадзор такой ерундой не занимается.
Я туда обращался. И вот какая вышла история (выдержка из дневника):
А казалось бы, прямая обязанность РКН банить такое. Но нет-с...
invasy
«Курирующие органы» разве не должны это самостоятельно мониторить на мои налоги?
Эти «органы» только не к месту возбуждаются.
ModestONE
Просто оставлю этот здесь: admin.rkn.gov.ru
eimrine
Так статья-то не о баге, а о сервисе с вот такими вот данными. Баг это самая неинтересная часть статьи — закроют один, а найдут еще десять, закроют те десять — а база данных уйдет в «глаз бога» и больше закрывать баги станет без надобности
Я так понял, у автора имеются вопросы к данным органам не о баге.TigerClaw
Ну тут даже с моей точки зрения я вижу, что там какой то идиотизм уровня говнокода, мелких говноконтор. Причем просчет уже на уровне ТЗ. Я лично бы под угрозой увольнения не стал бы ни реализовывать, ни запускать проект с такими очевидными косякомя.
Впрочем тут сам проект вызывает массу вопросов. Это просто позор какой-то. Тут в пору заинтересоваться как приняли такую работу, сколько денег потратили и не было ли тут расспила.
И вы правы, скорее всего там много багов, которые позволяют получить персональные данные.
SemyonSinchenko
Как я понял из гугла, большую часть тендеров выигрывает ООО "Государство детей". Но я первый раз слышу про эту контору и там работает 12 человек, то есть они выигрывают тендер и нанимают суб-подрядчиков уже без тендера/госконтракта. Это как я понял.
Ссылка из гугла
susa
Потратил немного времени на "гугление".
Так как на основном сайте что-то идет не так, нашел https://dopportal.ru/
Там указано: АИС «Региональный навигатор дополнительного образования"
Раз АИС, то это это государство. Раз государство, то госзакупки.
ИНН указан на самом сайте: ООО "Государство Детей" ИНН 7718989746
Идем на госзакупки, вбиваем участника с указанным ИНН, выдачу сортируем по дате размещения с самого раннего и анализируем одну секунду.
Вот этот аукцион. Единственный участник победил с предложением 8 716 250,00 ₽. Стартовая цена была 9 175 000,00 ₽
Судя по всему, ООО "Государство Детей" связано с ООО "Образовательные технологии". Адреса (129085, г. Москва, Звездный Бульвар, д. 19, стр. 1 ) совпадают, телефоны тоже, плюс есть отсылка на сайте.
Если интересно, то можно посмотреть на суммы аукционов, в которых участвует ООО "Государство Детей" и ООО "Образовательные технологии".
Я не совсем в курсе про объемы работ и их стоимость на рынке, но цифры радуют глаз.
TigerClaw
Ну там реально большой объем работ. Но думаю субподрядчики получили раза в 2 меньше денег. Причем опыт говорит о том, что и те могли привлекать сторонних разработчиков. Отсутствие адекватного контроля и "эффективный" менеджмент привел к таким вот результатам. Причем я бы не сказал, что плохо сделано. Надо разбирать работу. Но тут явно были проблемы с управлением проектом.
susa
Я просто попытался найти ответ на Ваш вопрос)
Оценивать сложность проекта и адекватность затрат на него не могу, так как не моя предметная область.
AigizK
Похоже они разбили большой тендер на мелкие части. С учетом того что 83 региона у них, то сумма получается хорошая