По информации издания «Ведомости», представители организации поддержки семей с детьми и защиты детства «Мы за перемены» обнаружили баг в работе бесплатной образовательной платформы «Сферум». Уязвимость позволяет любому взрослому человеку зарегистрироваться учеником в школе, видеть список учащихся и создавать с ними закрытые чаты. Разработчики из VK и «Ростелекома» настаивают, что такая ситуация невозможна, они не видят проблем с безопасностью сервиса.
Представители организации «Мы за перемены» выяснили, что для регистрации в классе нужно получить ссылку-приглашение, которые часто рассылают в открытую сами ученики в соцсети «ВКонтакте», причем это никто не контролирует и не блокирует в соцсети. По этим ссылкам любой взрослый пользователь также может присоединиться к классу и начать там виртуально числиться. По мнению экспертов, в самой платформе нет механизма проверки учеников, включая блокировку аккаунтов взрослых.
Участники организации «Мы за перемены» рассказали, что обнаружили несколько приглашений от учеников в «ВКонтакте» и смогли по ним стать учениками в семи школах. Причем их за два месяца оттуда никто не удалил. Они после регистрации могут видеть все фамилии и имена школьников с 1-го по 11-й класс в любой зарегистрированной на платформе школе, у них есть возможность написать любому ученику сообщение или создать закрытый чат.
В качестве примера для издания «Ведомости», один из взрослых организации записался еще в две школы без дополнительной верификации, воспользовавшись открытыми приглашениями со страниц школ в соцсети.
По мнению организации, так доступ к детям могут получить наркоторговцы, педофилы и другие злоумышленники. Так же в пользовательском соглашении «Сферума» указано, что разработчики платформы (ООО «Цифровое образование») не несут ответственность за контент, а модерация аккаунтов учеников и их блокировка полностью лежит на учителях и школах. Только этим никто не занимается в реальности, так как в сферу обязанностей сотрудников учебных заведений не входит постоянно проверять и проводить блокировки контента и аккаунтов учеников в цифровых школах.
Представитель разработчика пояснил изданию, что ссылки-приглашения, которые публикуются в соцсетях учениками, индивидуальны и действуют 24 часа. По его заверению, после получения ссылки и регистрации по ней, учитель или сотрудник школы, у которого есть списки учеников, учителей, родителей и опекунов, должен одобрить подключение нового ученика к платформе. Без этого в класс добавить ученика нельзя. Также разработчики пояснили, что администратору в школе доступна функция деактивации ссылки-приглашения, если она была скомпрометирована, например, размещена в социальной сети.
В пресс-службе «Сферум» «Интерфаксу» сообщили, что переход по ссылке-приглашению не является регистрацией на платформе, а позволяет любому пользователю присоединиться к уроку, если класс перешел на удаленное обучение.
Также представитель создателя «Сферум» добавил, что они скоро откажутся от практики ссылок-приглашений для усиления безопасности, а сейчас на платформе идет «корректировка принципов функционирования таких ссылок». Он не пояснил, почему такие ссылки сейчас можно использовать несколько раз разными людьми, а не один раз и только учеником, как должно быть.
Эксперт Института исследований интернета предположил изданию, что баг с регистрацией по ссылкам, скорее всего, на стороне платформы. Он считает, что там есть в работе ссылок есть недокументированные функции, позволяющие использовать их многократно для регистрации, или, например, можно легко подобрать ссылку путем перебора определенных параметров. По его мнению, злоумышленники могут использовать этот баг с начала работы платформы, а разработчикам необходимо закрыть эту уязвимость как можно скорее.
Образовательная бесплатная социальная сеть «Сферум» была запущена 31 марта 2021 года в рамках выполнения госпрограммы по реализации доступной цифровой образовательной среды для дистанционного обучения.
Для регистрации в «Сферум» нужен аккаунт в VK или VK id. При регистрации можно выбрать одну или несколько доступных в соцсети школ, а также указать класс в ней и роль (учитель, учащийся). Дальше на электронную почту заявителя приходит подтверждение регистрации, а ученик может полноценно работать внутри системы.
В своей работе «Сферум» частично использует инфраструктуру, технологии и сервисы VK. На это указывает использование webpack и ReactJS для самого сайта sferum.ru, а также размещение некоторых серверов образовательной системы в *.vk.com.
В конце прошлого года у платформы дистанционного обучения «Сферум» было зафиксировано более 2 млн пользователей в месяц, этот параметр продолжает расти в 2022 году. В 2021/22 учебном году в тестовом режиме платформа работает в 15 регионах России. Сейчас к «Сферуму» подключены 27 тыс. образовательных организаций и 2,5 млн пользователей, включая пользователей из других регионов, в которых пока «Сферум» не используется школами.
