Инициативная группа граждан, специализирующаяся на вопросах кибербезопасности, обнародовала данные серьезного расследования по частной платформе Учи.ру (владелец – ООО «ВК»). На основании открытых данных сделаны шокирующие выводы – созданный программистами из Харькова проект сливает персональные данные 12 млн. российских школьников на американские серверы посредством американского сервиса CloudFlare. Также проект по-прежнему тесно связан с Украиной и Западом, имеет высоких покровителей в Администрации президента. Региональные органы власти, директора школ и учителя продолжают загон на платформу «онлайн-обучения» Учи.ру нового поколения россиян. Платформа проводит свои «олимпиады», выстраивает личные рейтинги детей. Недавно исследователи без проблем получили списки обучающихся школы-интерната МИД России и школы будущих президентов АНО «Президент», размещенные на платформе. Наши спецслужбы судя по всему, закрывают глаза на деятельность Учи.ру, данные детей продолжают утекать в США. Считаем важным познакомить читателей с данными расследования.

Основатель Учи.ру Иван Коломоец рассказывает, что проект Учи.ру запустили программисты из Харькова. Затем проект был одобрен ФИРО – и при поддержке АНО «Агентство стратегических инициатив» при Правительстве РФ, удаленные курсы были запущены в 85 регионах России. Очень активно раскручивала платформу уроженка Праги и глава АСИ Светлана Чупшева, в феврале 2021 г. рассказавшая Владимиру Путину на личном приеме об успехах этого стартапа. Чупшева сообщила, что в проект вложены крупные инвестиции, его выручка достигла 3 млрд. рублей и «половина школьников страны учится на этой платформе».

Официально администрация Учи.ру заявляет, все личные пользователей платформы обрабатываются в России, однако простая проверка трассировки маршрутов показывает, что личные данные школьников нашей страны перегоняются в незашифрованном виде через находящийся в Сан-Франциско (США) сервер корпорации CloudFlare Inc.

Давая официальные ответы, админы проекта просто игнорируют тот факт, что Учи.ру передает полностью трафик к/от своих серверов через США в открытом для последних виде (детали расследования смотрите здесь). То есть для ученика из Лобни, который зашёл на Учи.ру — необходимо зачем-то все свои данные отправлять сначала в США, которые потом доходят до российского VKcloud. Потом такой же дорогой данные возвращаются в Лобню. Логичный вопрос: зачем же нужен крюк в США, если из Лобни трафик можно напрямую гнать в VKcloud?

Формальная работа CloudFlare — это предоставление клиентам услуг по очистке трафика, оптимизации скорости доступа к сайту, защиты от ddos-атак. А содержательной стороной работы является передача расшифрованных данных сервису. Ни директор ФСБ Бортников, ни секретарь Совбеза Патрушев не могут дать гарантии использования/неиспользования разведсообществом США данных российских детей с Учи.ру. Доверять заверениям частной компании из США, либо официальным представителем США -   неиспользовании данных российских школьников не представляется возможным в силу недоверия. Особенно с учетом горячей фазы войны России с Западом, где в качестве прокси-войск им используются ВСУ.

Исследователи пошли еще дальше и нашли на Учи.ру дыры безопасности, позволяющие получить сведения об обучающихся на платформе школьниках ФГБОУ «Средняя школа-интернат МИД России». То есть о будущих наших дипломатах и разведчиках, которые становятся секретоносителями на госслужбе. То есть с позиций нацбезопасности работа платформы выглядит, как настоящая диверсия.

Показательно, что вскоре после вскрытия этой дыры в безопасности платформы, программисты Учи.ру соизволили запретить просмотр фамилий учеников сторонним лицам. Но на этом их «борьба с безопасностью» остановилась. 12 млн. личных данных российских школьников уже обрабатываются спецслужбистами США, а количество участников продолжает расширяться. Причем масштабы командно-административного навязывания платформы поражают. Вот пример, какие органы власти в регионах пиарят платформу на официальных каналах в соцмедиа.

Нередко не в меру инициативные учителя просто регистрируют школьников на Учи.ру целыми классами, вообще не спрашивая согласия родителей. Им остается только ввести уже предоставленные логины/пароли. И после этого родителям начинают поступать рекламные сообщения о новых продуктах платформы (да, они естественно – уже платные), а ПД детей безвозвратно утекают на Запад. Без самоуправства и превышения полномочий тут не обходится.

Чтобы выработать зависимость от цифровой платформы, ее разработчики придумали личный рейтинг обучающихся. Для его постоянного повышения надо участвовать и во всероссийских олимпиадах при поддержке Учи.ру, причем участие позиционируется администрацией школ как обязательное. И потом данные выступления на олимпиаде тут же подгрузятся в цифровое портфолио-досье ребенка в его электронном дневнике на ФГИС «Моя школа».

Доходит до совсем уж комичных историй, когда детей в Учи.ру зазывают… инспекторы ГИБДД на о. Сахалин. И вот еще интересный нюанс: Телеграм-боты «пробива» ПД людей, аккумулирующие в себе всевозможные утечки личных сведений из баз государственных и частных структур, содержат сведения из Учи.ру. Утечка от 2019 г., которая официально не признана администрацией платформы, составляет более 38 тысяч строчек ПД.

В контексте СВО и наших отношений с Западом исследователи выделяют еще один интересный факт. В московском офисе Учи.ру делают также обучающую платформу HappyNumbers – исключительно для американской аудитории. Так вот, столичные разработчики запретили доступ к этой платформе гражданам России. Ничего личного, только бизнес. При этом ПД детей из США не пересылаются в открытом виде через российские сервера, «обеспечивающие безопасность данных». В США Учи.ру следуют выполнению условий COPPA / FERPA / CSPC, обязывающих хранить все ПД обучающихся под вымышленными именами. В России, увы, до таких норм безопасности далеко.

Авторы расследования также создали наглядную схему – как ПД школьников-пользователей Учи.ру из России оказываются в руках ЦРУ. Приводим ее в завершение материала.

Какие выводы из анализа деятельности конкретной образовательной платформы в России можно сделать? Во-первых, Учи.ру и не только постепенно становятся обыденностью для родителей, учителей и школьников. У них мощный лоббистский и административный ресурс, в них вложены и через них отбиваются миллиарды. Во-вторых, реальная защита личных данных детей, публичное распространение которых полностью запрещено, к примеру, в российских СМИ, в таких случаях мало волнует профильные органы контроля. Они потоком сливаются на Запад. Контроля над этими цифровыми технологиями у нас нет никакого, а противник, таким образом, может проводить интеллектуальную разведку и точечную диверсионную политику против будущего нашей страны.

Выходит, что современной кибербезопасности у нас в стране на сегодня как бы и нет. Но властей куда больше заботит внедрение новых «мотивирующих мониторингов» для регионов, для федерального Правительства, в рамках которых плохо внедряющие цифру в образование и другие сферы чиновники штрафуются и снимаются с должностей. Такими темпами мы не только не достигнем никакого «цифрового суверенитета» («ложный флаг» адептов цифровой трансформации), но и потеряем страну. Надеемся, что ответственные лица хоть немного задумаются и предпримут конкретные действия по прочтению этого материала. Ну и конечно, родители и педагоги сделают свои выводы относительно использования «цифровых образовательных платформ» вроде Учи.ру. Помните, что по закону никто не может заставить вас ими пользоваться.

При написании материала использовались данные ТГ-канала Не.Кибербезопасно (https://t.me/NE_cybersec). Желаем авторам этого проекта широкой огласки и успехов в выполнении поставленных задач.

14 Ноября 2023 в 06:24
19362