HARD CORE SECURITY LAB

Od pewnego czasu polskie przedszkola znów pękają w szwach, a rodzice zaciekle walczą o każde wolne miejsce. Jak to zwykle w naszym pięknym kraju bywa, znów ktoś czegoś odpowiednio nie zaplanował, nie tym jednak będziemy się dziś zajmować. Otóż okazuje się, że przebiegli rodzice mogą za pomocą prostych ataków socjotechnicznych wyeliminować część konkurencji startującej wraz z ich pociechą w wyścigu o upragnione przedszkolne miejsca. Poniższe przykłady nie mają jednak zachęcać do podobnych praktyk, a raczej zwracać uwagę na kilka potencjalnych zagrożeń.

Spójrzmy najpierw na przykład pewnej Brytyjki, która chcąc zapewnić swemu dziecku miejsce w prestiżowej londyńskiej szkole podstawowej, posunęła się do podstępu godnego samego mistrza Mitnicka.

Sprytna mama założyła odpowiednie konto w usłudze Gmail i podszyła się pod rodzica jednego z dzieci, które znajdowało się na liście rekrutacyjnej wyżej od jej własnej pociechy. W wiadomości e-mail skierowanej do władz szkolnych, kobieta poprosiła po prostu o wykreślenie konkurencyjnego dziecka z listy, a prośba ta została spełniona! E-mail zawierał dane personalne dziecka (w tym dokładną datę urodzenia), co najwyraźniej szkoła uznała za wystarczające potwierdzenie tożsamości rzekomego rodzica.

Spójrzmy teraz na nasze rodzime przedszkolne procesy rekrutacyjne. Jak się okazuje, przykładowo w Warszawie działa Elektroniczny system ewidencji podań do warszawskich przedszkoli. Proces rekrutacyjny na ten rok został już dawno zakończony i trudno obecnie poznać jego szczegóły, wygląda jednak na to, że zgłoszenie sprowadza się do wypełnienia odpowiedniego formularza online dostępnego w ramach Elektronicznego Systemu Ewidencji Podań. Możemy więc założyć, że po wszystkim otrzymamy jakiś mail z potwierdzeniem. Jeśli nawet w ten sposób nie poznamy adresu e-mailowego odpowiedniego do złożenia fałszywej rezygnacji w imieniu rodziców konkurencyjnego dziecka, to na głównej stronie dostępny jest następujący adres kontaktowy: przedszkola2009@edukacja.warszawa.pl.

Pytanie tylko, czy odpowiednio spreparowany e-mail pozwoliłby nieuczciwym rodzicom na wykreślenie z listy innego, dowolnie wybranego dziecka? Nikomu nie radzę jednak przeprowadzania tego typu prób (brytyjską mamą zajęła się już policja).

Przy coraz częściej stosowanych rekrutacjach elektronicznych, tego typu próby kradzieży tożsamości będą się pojawiać coraz częściej. W jaki więc sposób waszym zdaniem należy zabezpieczać tego typu przedsięwzięcia? Z jednej strony cała procedura nie może być zbyt skomplikowana, z drugiej jednak nie może być tak, że podanie kilku danych personalnych oraz skorzystanie z odpowiednio sugestywnego adresu e-mailowego pozwoli każdemu na skuteczne podszycie się pod innych uczestników rekrutacji...

[źródło]