Ile zarabiają nauczyciele? Każdy mógł to podejrzeć
Dane osobowe nauczycieli i ich pensje mógł zobaczyć dosłownie każdy. Atak hakerski, wyciek? Nic z tych rzeczy. Wystarczyło zajrzeć do instrukcji firmy, która te dane przechowuje.
Vulcan to firma stojąca za m.in. e-dziennikami w szkołach, aplikacjami dla rodziców i uczniów czy programami do obsługi kadr i prowadzenia inwentaryzacji. To oznacza, że firma ma dostęp do danych osobowych nauczycieli, rodziców i uczniów. Wystarczył drobny błąd, by informacje na temat pracowników jednej ze szkół ujrzały światło dzienne.
O sprawie pisze portal niebezpiecznik.pl. Jeden z czytelników serwisu przeglądał pliki w internetowej bazie wiedzy firmy Vulcan. Znalazł plik PDF z instrukcją udostępniania danych na potrzeby wykonania usługi wdrożeniowej. Dokument na stronie już podmieniono, ale wcześniej oglądający widzieli nazwy katalogów - jeden z nich miał związek ze szkołą podstawową. I jak się okazało, wystarczyło wpisać w przeglądarkę adres, który również widoczny był na obrazku, razem z nazwą folderu. To dawało dostęp do informacji o osobach zatrudnionych w szkołach (m.in. adres zamieszkania, data urodzenia czy PESEL) i ich wynagrodzeniach.
Co w tej sprawie jest najbardziej zadziwiające i absurdalne - pliki nie były chronione dodatkowymi hasłami ani innymi zabezpieczeniami. Wystarczyło zajrzeć do instrukcji i być trochę pomysłowym oraz ciekawskim.
“W dostępnym katalogu znajdowały się pliki dotyczące tylko kilku szkół, a nie wszystkich obsługiwanych przez Vulcan. I to w dodatku tych, które same te pliki Vulcanowi przekazały” - czytamy na portalu niebezpiecznik.pl, więc w razie ewentualnego wycieku wielu ofiar by na szczęście nie było. Dodatkowo wszyscy zainteresowani zostali o luce poinformowani.
Dlaczego jednak do takiej sytuacji doszło? Było to po prostu zwykłe przeoczenie - katalog miał być zabezpieczony.
