В образовательной платформе VK и «Ростелекомома» найдена серьезная уязвимость

Уязвимость дает возможность педофилам и наркоторговцам легко получать доступ к детям, зарегистрированным на платформе, в том числе тайно.

В образовательной платформе VK и «Ростелекомома» найдена серьезная уязвимость

У информационно-коммуникационной платформы для школьников и учителей «Сферум», разработанной компанией VK (ранее Mail.ru Group) и «Ростелекомом», есть «дыры в безопасности», позволяющие кому угодно тайно связаться со школьниками. Об этом сообщают «Ведомости» со ссылкой на представителей организации поддержки семей с детьми и защиты детства «Мы за перемены».
Как заявили представители организации поддержки семей с детьми и защиты детства «Мы за перемены», в настоящее время заявления по данному факту направлены генеральному прокурору России Игорю Краснову, руководителю Рособрнадзора Анзору Музаеву, министру просвещения Сергею Кравцову и министру цифрового развития Максуту Шадаеву.
Как сообщается, регистрация на платформе — автоматическая, и реализуется при нажатии на ссылку-приглашение, которую присылают во «ВКонтакте». Но платформа не проверяет возраст участников. Кроме того, не контролируется и распространение ссылок. Потому родители опасаются, что под видом ученика там могут зарегистрироваться и взрослые пользователи.
Например, в качестве проверки один из членов организации «Родительская палата» зарегистрировался на платформе под видом ученика в девяти школах. На протяжение двух месяцев никто не выявил обман и не удалил его.
Пользователь может видеть фамилии и имена обучающихся в любой зарегистрированной на платформе школы, может написать любому, а также создать закрытый чат и включить видеосвязь. При этом у школьников нет возможности блокировать других пользователей. Родители опасаются, что через «Сферум» со школьниками могут связаться педофилы, наркоторговцы и мошенники.
В «Сферуме» в свою очередь опровергли данные об автоматической регистрации при переходе по ссылке. В пресс-службе платформы отметили, что процесс регистрации построен так, чтобы исключить возможность входа посторонних лиц.
«Присоединиться к школе и классу можно только после получения подтверждения от администратора платформы (уполномоченного сотрудника образовательной организации), у которого есть списки учеников, учителей, родителей и законных опекунов. Мы не подтверждаем, что переход по ссылке является регистрацией. Это разовая ссылка, которая позволяет присоединиться к уроку, если класс перешел на удаленное обучение. При этом переход по ссылке не является регистрацией», — говорится в сообщении пресс-службы.

SECURITYLAB.RU

Источник