15.11.2023Как Учи.ру сливает
данные каждого второго
российского школьника в США
Инициативная группа граждан, специализирующаяся на вопросах кибербезопасности, обнародовала данные серьезного расследования по частной платформе Учи.ру (владелец - ООО «ВК»).
На основании открытых данных сделаны шокирующие выводы - созданный программистами из Харькова проект сливает персональные данные 12 млн. российских школьников на американские серверы посредством американского сервиса CloudFlare.
Также проект по-прежнему тесно связан с Украиной и Западом, имеет высоких покровителей в Администрации президента. Региональные органы власти, директора школ и учителя продолжают загон на платформу «онлайн-обучения» Учи.ру нового поколения россиян.
Платформа проводит свои «олимпиады», выстраивает личные рейтинги детей.
Недавно исследователи без проблем получили списки обучающихся школы-интерната МИД России и школы будущих президентов АНО «Президент», размещенные на платформе.
Наши спецслужбы судя по всему, закрывают глаза на деятельность Учи.ру, данные детей продолжают утекать в США.
Считаем важным познакомить читателей с данными расследования.
Основатель Учи.ру Иван Коломоец рассказывает, что проект
Учи.ру запустили программисты из Харькова. Затем проект был одобрен ФИРО - и при поддержке АНО «Агентство стратегических инициатив» при Правительстве РФ, удаленные курсы были запущены в 85 регионах России. Очень активно раскручивала платформу уроженка Праги и глава АСИ Светлана Чупшева, в феврале 2021 г. рассказавшая Владимиру Путину на личном приеме об успехах этого стартапа. Чупшева сообщила, что в проект вложены крупные инвестиции, его выручка достигла 3 млрд. рублей и «половина школьников страны учится на этой платформе».
Официально администрация Учи.ру заявляет, все личные пользователей платформы обрабатываются в России, однако простая проверка трассировки маршрутов показывает, что личные данные школьников нашей страны перегоняются в незашифрованном виде через находящийся в Сан-Франциско (США) сервер корпорации CloudFlare Inc.
Давая официальные ответы, админы проекта просто игнорируют тот факт, что Учи.ру передает полностью трафик к/от своих серверов через США в открытом для последних виде (
детали расследования смотрите здесь). То есть для ученика из Лобни, который зашёл на Учи.ру - необходимо зачем-то все свои данные отправлять сначала в США, которые потом доходят до российского VKcloud. Потом такой же дорогой данные возвращаются в Лобню. Логичный вопрос: зачем же нужен крюк в США, если из Лобни трафик можно напрямую гнать в VKcloud?
Формальная работа CloudFlare - это предоставление клиентам услуг по очистке трафика, оптимизации скорости доступа к сайту, защиты от ddos-атак. А содержательной стороной работы является передача расшифрованных данных сервису. Ни директор ФСБ Бортников, ни секретарь Совбеза Патрушев не могут дать гарантии использования/неиспользования разведсообществом США данных российских детей с Учи.ру. Доверять заверениям частной компании из США, либо официальным представителем США - неиспользовании данных российских школьников не представляется возможным в силу недоверия. Особенно с учетом горячей фазы войны России с Западом, где в качестве прокси-войск им используются ВСУ.
Исследователи пошли еще дальше и нашли на Учи.ру дыры безопасности, позволяющие получить сведения об обучающихся на платформе школьниках ФГБОУ
«Средняя школа-интернат МИД России». То есть о будущих наших дипломатах и разведчиках, которые становятся секретоносителями на госслужбе. То есть с позиций нацбезопасности работа платформы выглядит, как настоящая диверсия.
Показательно, что вскоре после вскрытия этой дыры в безопасности платформы, программисты Учи.ру соизволили запретить просмотр фамилий учеников сторонним лицам.
Но на этом их «борьба с безопасностью» остановилась.
12 млн. личных данных российских школьников уже обрабатываются спецслужбистами США, а количество участников продолжает расширяться. Причем масштабы командно-административного навязывания платформы поражают.
Вот пример, какие органы власти в регионах пиарят платформу на официальных каналах в соцмедиа.
Нередко не в меру инициативные учителя просто регистрируют школьников на Учи.ру целыми классами, вообще не спрашивая согласия родителей. Им остается только ввести уже предоставленные логины/пароли. И после этого родителям начинают поступать рекламные сообщения о новых продуктах платформы (да, они естественно - уже платные), а ПД детей безвозвратно утекают на Запад. Без самоуправства и превышения полномочий тут не обходится.
Чтобы выработать зависимость от цифровой платформы, ее разработчики придумали личный рейтинг обучающихся.
Для его постоянного повышения надо участвовать и во всероссийских олимпиадах при поддержке Учи.ру, причем участие позиционируется администрацией школ как обязательное.
И потом данные выступления на олимпиаде тут же подгрузятся в цифровое портфолио-досье ребенка в его электронном дневнике на ФГИС «Моя школа».
Доходит до совсем уж комичных историй, когда детей в
Учи.ру зазывают… инспекторы ГИБДД на о. Сахалин. И вот еще интересный нюанс: Телеграм-боты «пробива» ПД людей, аккумулирующие в себе всевозможные утечки личных сведений из баз государственных и частных структур, содержат сведения из Учи.ру. Утечка от 2019 г., которая официально не признана администрацией платформы,
составляет более 38 тысяч строчек ПД. В контексте СВО и наших отношений с Западом исследователи выделяют еще один интересный факт. В московском офисе Учи.ру делают также обучающую платформу HappyNumbers - исключительно для американской аудитории. Так вот, столичные разработчики запретили доступ
к этой платформе гражданам России. Ничего личного, только бизнес. При этом ПД детей из США не пересылаются в открытом виде через российские сервера, «обеспечивающие безопасность данных». В США Учи.ру следуют выполнению условий COPPA / FERPA / CSPC, обязывающих хранить все ПД обучающихся под вымышленными именами. В России, увы, до таких норм безопасности далеко.
Авторы расследования также создали наглядную схему - как ПД школьников-пользователей Учи.ру из России оказываются в руках ЦРУ. Приводим ее в завершение материала.
Какие выводы из анализа деятельности конкретной образовательной платформы в России можно сделать?
Во-первых, Учи.ру и не только постепенно становятся обыденностью для родителей, учителей и школьников. У них мощный лоббистский и административный ресурс, в них вложены и через них отбиваются миллиарды.
Во-вторых, реальная защита личных данных детей, публичное распространение которых полностью запрещено, к примеру, в российских СМИ, в таких случаях мало волнует профильные органы контроля. Они потоком сливаются на Запад.
Контроля над этими цифровыми технологиями у нас нет никакого, а противник, таким образом, может проводить интеллектуальную разведку и точечную диверсионную политику против будущего нашей страны.
Выходит, что современной кибербезопасности у нас в стране на сегодня как бы и нет. Но властей куда больше заботит внедрение новых «мотивирующих мониторингов» для регионов, для федерального Правительства, в рамках которых плохо внедряющие цифру в образование и другие сферы чиновники штрафуются и снимаются с должностей.
Такими темпами мы не только не достигнем никакого «цифрового суверенитета» («ложный флаг» адептов цифровой трансформации), но и потеряем страну.
Надеемся, что ответственные лица хоть немного задумаются и предпримут конкретные действия по прочтению этого материала. Ну и конечно, родители и педагоги сделают свои выводы относительно использования «цифровых образовательных платформ» вроде Учи.ру. Помните, что по закону никто не может заставить вас ими пользоваться.
При написании материала использовались данные ТГ-канала Не.Кибербезопасно (
https://t.me/NE_cybersec). Желаем авторам этого проекта широкой огласки и успехов в выполнении поставленных задач.
ИСТОЧНИК