У образовательной платформы VK и «Ростелекома» обнаружили уязвимость

Через «Сферум» со школьниками могут связаться педофилы и наркоторговцы, опасаются родители
Безопасность, защита персональных данных, а также доступность и использование качественных верифицированных материалов – это безусловный приоритет для сферы образования, сказал «Ведомостям» представитель пресс-службы Минпросвещения
Безопасность, защита персональных данных, а также доступность и использование качественных верифицированных материалов – это безусловный приоритет для сферы образования, сказал «Ведомостям» представитель пресс-службы Минпросвещения / Сергей Бобылев / ТАСС

Информационно-коммуникационная платформа для школьников и учителей «Сферум», которая была разработана по заказу правительства, имеет «дыры в безопасности», позволяющие кому угодно связаться, в том числе тайно, с любым школьником, зарегистрированным в сети, утверждают представители организации поддержки семей с детьми и защиты детства «Мы за перемены» (создана летом 2020 г. в Санкт-Петербурге). И. о. директора организации Анастасия Лихобабина направила заявления с просьбой проверить платформу и остановить ее использование генеральному прокурору Игорю Краснову, руководителю Рособрнадзора Анзору Музаеву, министру просвещения Сергею Кравцову и министру цифрового развития Максуту Шадаеву (последние два ведомства курировали создание «Сферума»). Свое заявление общественники направили также в Госдуму, первому заместителю председателя комитета по просвещению Яне Лантратовой, которая пообещала взять проблему под контроль.

«Сферум» был презентован в марте 2021 г. с участием руководителей Минпросвещения и Минцифры. Платформу разработало и запустило ООО «Цифровое образование» – совместное предприятие VK (ранее – Mail.ru Group) и ПАО «Ростелеком» в соответствии с постановлением правительства «О проведении эксперимента по внедрению цифровой образовательной среды» от 2020 г. Разработчики объясняли, что «Сферум» делает обучение, в том числе дистанционное, более гибким, технологичным и удобным. Как рассказывал Кравцов, если ученик заболел, то с помощью «Сферума» он из дома может подключиться к трансляции урока, слушать учителя и делать домашнее задание.

В 2021/22 учебном году апробация платформы идет в 15 регионах России. Сейчас к «Сферуму» подключены 27 000 образовательных организаций (порядка 2,5 млн человек), в том числе за пределами этих 15 регионов. Затем систему планируется масштабировать.

В заявлении родительской организации указывается, что вход в «Сферум» и регистрация происходят автоматически при нажатии на ссылку-приглашение, которую присылают в соцсети «В контакте» (входит в VK). Платформа, опасаются родители, не отсекает участников уроков-конференций во возрасту: зарегистрироваться как ученик может даже взрослый. А распространение ссылок не контролируется – их рассылают даже сами ученики. В этом убедился корреспондент «Ведомостей», а также Андрей Афанасьев, представитель некоммерческой организации «Родительская палата» (ее сопредседатель – учредитель «Мы за перемены» Надежда Жилина). 

«Уже два месяца я [виртуально] «числюсь» учеником в семи школах, и меня никто не удалил. Я вижу фамилии и имена всех школьников – с 1-го по 11-й класс в любой зарегистрированной на платформе школе и могу написать любому, а также [как ученик] создать закрытый чат, включить видеосвязь, при этом дети не имеют возможности заблокировать меня», – пояснил «Ведомостям» Афанасьев и тут же «записался» еще в две школы без дополнительной верификации, воспользовавшись открытыми приглашениями со страниц школ в соцсети. Он полагает, что таким же образом доступ к детям могут получить наркоторговцы, педофилы и другие преступники. В пользовательском соглашении «Сферума» указано, что компания не несет ответственность за контент, а модерация контента и блокировка полностью ложится на учителей, подчеркивает Афанасьев.

Представитель ООО «Цифровое образование» заявил «Ведомостям», что процесс регистрации в «Сферуме» построен так, чтобы максимально исключить вход посторонних лиц, а присоединение к школе и классу происходит после подтверждения со стороны сотрудника школы, у которого есть списки учеников, учителей, родителей и опекунов. Ссылки-приглашения, которые публикуются в соцсетях, индивидуальны и действуют 24 часа, отметил представитель разработчика. Вместе с тем «Цифровое образование» намерено полностью отказаться от ссылок-приглашений для усиления безопасности, а сейчас «идет корректировка принципов функционирования ссылок», подчеркнул собеседник.

Директор Института исследований интернета Карен Казарян отмечает, что в аналогичных западных продуктах ссылка на регистрацию обычно генерируется учителем и уникальна – может использоваться один раз. «Если этот механизм реализуется на «Сферуме», как утверждают его представители, и ссылка уникальная и одноразовая, тогда никто, включая Афанасьева, не мог бы зарегистрироваться на платформе как школьник несколько раз и находиться на ней длительное время», – говорит Казарян. Соответственно, баг может быть на стороне платформы. «Если, к примеру, в работе ссылок есть недокументированные функции (возможность многократной регистрации или подбора ссылки), тогда поиск и исправление этих уязвимостей должны быть первой задачей для создателей платформы», – резюмировал эксперт.

Безопасность, защита персональных данных, а также доступность и использование качественных верифицированных материалов – это безусловный приоритет для сферы образования, сказал «Ведомостям» представитель пресс-службы Минпросвещения, поэтому «после окончания пилота <...> механизмы информационной защиты платформы должны быть совершенными и максимальными». Собеседник «Ведомостей», близкий к министерству, также отметил, что в ведомстве ожидают отказа разработчика платформы от использования ссылок-приглашений и создания полностью защищенных каналов входа.