Електронната система за прием в детските и учебните заведения в Стара Загора отново работи

Временно беше спрян достъпът до електронната система за подаване на документи за прием в детските и учебните заведения в Стара Загора. Причината е превантивна мярка поради появилата се на 26 юни информация в интернет за пробив в платформата.

laptop„Информационно обслужване“ АД извършва проверка по сигурността, съобщиха от Общината.

Системата е инсталирана на сървър на Община Стара Загора и е защитена от неоторизиран достъп. Родителите осъществяват влизане в системата чрез въвеждане на ЕГН и номер на лична карта, като за верността на данните се проверява в базата данни на населението в общината.

За злоупотребата с лични данни от общинска администрация напомнят, че се носи наказателна отговорност.

* * *

Становище на "Информационно обслужване" АД за неправомерен достъп до лични данни на лица в Стара Загара

В Община Стара Загора е входирано по надлежния ред становище на „Информационно обслужване“ АД във връзка с пробив в електронната система за подаване на документи за прием в детските и учебните заведения в Стара Загора. По този повод, платформата беше временно спряна от съображения за сигурност и за извършване на проверка от фирмата-разработчик „Информационно обслужване“.

В становището на дружеството се казва:

Сигнал към служител на „Информационно обслужване“ АД относно публикацията във Facebook е получен на 26 юни 2019 г. 7:59 сутринта по електронна поща.

  • Извършен е анализ на постъпилите данни и проверка за наличие на описания проблем;
  • Проблемът е потвърден независимо от разработващия екип във Варна и екип в София;
  • Незабавно са предприети действия за оперативно информиране на клиентите, използващи тази версия на софтуерния продукт и спиране на публичния достъп до инсталацията, а в последствие и до цялата система;
  • Извършен е анализ на атаката, като резултатите са следните:
    - Системата дава възможност за въвеждане на ЕГН на дете за организиране на приема в детските заведения;
    - При подаване на ЕГН се извършва справка чрез интерфейс към локална база данни „Население“, като информацията, която се връща към потребителя е три имена и постоянен адрес на лицето;
    - Атакуващият, използвайки публично достъпния механизъм за съставяне на ЕГН, генерира множество последователни ЕГН (номера), които подава чрез заявки към системата. При съвпадение на генериран номер с издаден такъв, информацията за връзката „ЕГН - три имена - адрес“ се съхранява в базата данни на атакуващия;
    - Атакуващият е публикувал изходния код на средството за извличане на личните данни в GitHub на адрес https://github.com/fakedob/grao.
  • Разработен е план за коригиране на несъответствието, по който са извършени следните действия:
    - отстранена е функционалността за извличане на личните данни по ЕГН; реализирана е допълнителна функционалност за търсене на ЕГН в комбинация със съвпадащо първо име на лицето;
    - извършен е преглед на изходния код за наличие на други несъответствия, свързани със сигурността на системата;
    - извършено е сканиране за уязвимости на инсталацията;
    - след потвърждение на корекцията, новата версия на системата е инсталирана в общината;
    - подновен е достъпът до системата от потребителите, тъй като в настоящия момент тя е в реална експлоатация.
  • Извършеният преглед на сигурността на системата показа, че не е идентифициран достъп до данните, поддържани от самата система и няма неоторизирани промени в базата данни;
  • Извлечени са лог файловете от web сървъра и е извършен анализ на заявките към него за достъп до функционалността за извличане на данни.

 Становището на „Информационно обслужване“ АД  беше изпратено от пресцентъра на Община Стара Загора до медиите в следобедните часове на 28.06.2019 г. 

Електронната система за прием в детските и учебните заведения в Стара Загора отново работи.  

www.infoz.bg  www.infoz.bg