В сети в открытом доступе появились данные детей и родителей, зарегистрированных в навигаторе дополнительного образования Нижегородской области. Всего база содержит более 48 тыс. строк и, по оценке экспертов, может оказаться одним из крупнейших инцидентов компрометации данных детей с 2015 года. Сам сервис уже проводит проверку базы. Поскольку построение инфраструктуры образовательных госучреждений обычно типовое, потенциально можно ожидать аналогичных утечек в других регионах, полагают эксперты.
Фото: Дмитрий Духанин, Коммерсантъ / купить фото
Персональные данные более 48 тыс. пользователей сервиса р52.навигатор.дети — «Навигатор дополнительного образования Нижегородской области» в открытом доступе обнаружил Telegram-канал bin. В базе, с которой ознакомился “Ъ”, содержатся в том числе фамилии, имена, отчества, даты рождения, телефоны и e-mail родителей и некоторые СНИЛС.
Один из родителей, чьи данные указаны в базе, рассказал “Ъ”, что регистрировал ребенка в сервисе «Навигатор дополнительного образования Нижегородской области» в мае. Визуально все факторы указывают на подлинность базы, отметили в Infosecurity a Softline Company. До сих пор данные этого ресурса не выставлялись на продажу и не выкладывались в открытый доступ, говорит основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян.
«Навигатор дополнительного образования Нижегородской области» содержит сведения о соответствующих программах.
Создание такого ресурса, позволяющего семьям выбирать кружки и секции, предусмотрено федеральным проектом «Доступное дополнительное образование для детей», утвержденным в 2016 году. По нему к 2020 году общедоступный навигатор по дополнительным общеобразовательным программам должен был действовать во всех субъектах РФ. В Нижегородской области он запущен в тестирование в 2019 году.
В Региональном модельном центре Нижегородской области (координирует работу портала) “Ъ” сообщили, что направили базу разработчикам системы с просьбой подтвердить ее достоверность. Из информации на сайте «Навигатора» следует, что он реализован на технологиях Inlearno. Между тем еще 7 сентября пользователь Habr.com написал, что у сайта р52.навигатор.дети есть поддомен для администраторов, где можно зарегистрировать аккаунт и получить данные. «Об этой проблеме шесть месяцев назад было сообщено в поддержку сервиса, в ответ мне заблокировали аккаунт, а дырку не залатали»,— утверждал автор поста.
В ГК Angara считают, что инцидент стал одной из крупнейших утечек данных детей в России с 2015 года, когда по незащищенным каналам связи передавались данные более 5 млн школьников.
«Утечки данных детей происходят периодически, в основном с неправильно настроенных сайтов образовательных учреждений, но обычно это меньше 1 тыс. записей, так что инцидент можно назвать крупным»,— полагает Ашот Оганесян.
404 случая
утечки данных из коммерческих и государственных организаций в России зафиксировала в 2020 году InfoWatch
Утечка данных детей с содержанием контактов родителей может привести к формированию новых типов мошенничеств, связанных с манипуляцией информацией о ребенке, считает заместитель технического директора по развитию бизнеса Angara Руслан Косарим. «Варианты могут быть разными: от топорных сообщений родителям, что с ребенком что-то случилось и срочно нужны деньги, до умных рассылок об очередных госдотациях на школьников»,— добавляет ведущий аналитик «Серчинформ» Леонид Чуриков. Зная СНИЛС, мошенники могут оформить онлайн-заявление о переводе средств гражданина в НПФ и получить за это денежное вознаграждение, отмечает ведущий инженер CorpSoft24 Михаил Сергеев.
Беспокоит то, что утечка произошла из государственной образовательной системы, подчеркивает руководитель направления Solar webProxy компании «Ростелеком-Солар» Петр Куценко. Поскольку построение инфраструктуры образовательных госучреждений типовое, поясняет он, потенциально утечки грозят данным и образовательных учреждений других регионов.