Pytanie:
Czy ujawnienie adresów studentów jest luką w zabezpieczeniach?
Ghulam Ali
2017-01-04 16:39:24 UTC
view on stackexchange narkive permalink

Przepraszam za brak wiedzy w tej sprawie.

Mój uniwersytet (w zasadzie międzynarodowy uniwersytet w Wielkiej Brytanii, który ma studentów z różnych krajów) ma stronę internetową, która wymaga od studentów zalogowania się przed mają dostęp do wyników egzaminów. Wyniki te zawierają również ich imię i nazwisko oraz adres.

Ale po sprawdzeniu transakcji sieciowej odkryłem, że trafiła ona na stronę, która bezpośrednio pobiera numer rejestracyjny studenta w adresie URL i wyświetla wynik egzaminu z tym związany. Ta strona jest dostępna bez logowania się na konto studenta i bez żadnych kłopotów, dała mi wynik egzaminu, który ujawnił nazwisko i adres studenta. Próbowałem wielu numerów rejestracyjnych podobnych do mojego i wszystkie były łatwo przetwarzane.

Innym problemem jest to, że te numery rejestracyjne mają stałą długość, zawierają tylko liczby i są w porządku rosnącym. Na przykład, jeśli prawidłowy numer rejestracyjny to 000001, następny będzie 000002 itd.

Więc moim zdaniem atakujący może łatwo stworzyć automatyczny program, który mógłby generować te numery rejestracyjne, losowo lub w zamówić i uzyskać nazwiska i adresy setek studentów.

Moje pytania to:

  1. Czy ujawnianie nazwisk i adresów studentów jest powszechnie akceptowaną praktyką uniwersytetów?
  2. Czy powszechnie uznaną praktyką uniwersytetów jest to, że silne zabezpieczenia dotyczące nazwy i adresu nie są ważne?
  3. Czy jest to poważny atak i czy muszę im to zgłosić? A może można ją po prostu zignorować?

Aktualizacja:

Otrzymałem odpowiedź z uniwersytetu i teraz ją poprawili. Dziękuję wam wszystkim.

Jeśli uniwersytet znajduje się w Wielkiej Brytanii, może to stanowić naruszenie ustawy o ochronie danych i jeśli nie zostanie to natychmiast naprawione przez uniwersytet, można to zgłosić do [Information Commissioner's Office] (https://ico.org.uk/ obawy / postępowanie /), który może zdecydować o podjęciu dalszych działań.
Gdzie jest ten uniwersytet?Czy oceny są również publicznie dostępne?
Możesz rozważyć zgłoszenie tego anonimowo.
Jeśli dobrze zrozumiałem, to mówisz, że Twoja uczelnia ma stronę, na której, biorąc pod uwagę numer immatrykulacyjny studenta, podajesz imię i nazwisko oraz adres pocztowy (lub adres e-mail?) I ewentualnie ocenę z egzaminu?
@daiscog uniwersytet ma siedzibę w Wielkiej Brytanii.
@Josh tak, naprawdę martwię się, jak to zgłosić, myślę, że zgłoszenie anonimowe byłoby znacznie lepsze.Dzięki.
@daiscog dzięki za link, przyjrzę się temu.
@Bakuriu, tak, całkowicie poprawne.Ale wyświetlając go, najpierw poproś o nazwę użytkownika i hasło studenta, zanim podadzą raport. Jeśli wykorzystamy lukę, możemy ominąć ten login i zobaczyć raport bez logowania.
@GhulamAli Dopóki jesteście w UE, wasz uniwersytet ma tam bardzo poważny problem.Jest to wyraźnie niezgodne z prawem UE.
Dopóki nie podjąłeś kroków w celu ukrycia swojego adresu IP podczas pierwotnego dostępu, nie możesz zgłosić go w pełni anonimowo.
Myślę, że komentarz @daiscog's jest naprawdę najlepszą odpowiedzią.Ponieważ uniwersytet znajduje się w Wielkiej Brytanii, jest to prawie na pewno naruszenie DPA (naruszenie zasady 7, a prawdopodobnie także 6 i 8).Uczelnia powinna mieć biuro / oficera DPA, który podejmie działania balistyczne, kiedy to zgłosisz (i myślę, że powinieneś), i powinien być w stanie uzyskać presję na bardzo wysokie stanowisko, aby to zmienić.Jeśli nie naprawią tego szybko, zgłoszenie do ICO, zgodnie z sugestią, będzie właściwe.
Tytułowe pytanie, „Czy to luka w zabezpieczeniach, jeśli…”, ma zasadniczo niejednoznaczną odpowiedź, nawet w tak jednoznacznym scenariuszu.Wyrażenie „luka w zabezpieczeniach” można zdefiniować jako „coś zaskakującego, co można zrobić z systemem, który kontrolujesz” i chociaż ten przypadek jest półobiektywny w tym sensie, że „cóż, z pewnością zaskoczyłoby to rządowych regulatorów, którzy przypuszczalnie wydaliby stromąw porządku!"nadal ma wiele cech subiektywności.
Czy * chciałbyś *, aby Twój adres i nazwisko wyciekły?
Dziękuję, że dostęp do tych stron o każdym studencie innym niż ty, przy jednoczesnym zrozumieniu, że uniwersytet zamierzał zachować ich prywatność, byłby przestępstwem na mocy [sekcji 1 ustawy o nadużyciach komputerowych] (http://www.legislation.gov.uk / ukpga / 1990/18 / sekcja / 1)
„poprzez kontrolę transakcji sieciowej” - czy to również oznacza, że połączenie nie jest chronione certyfikatem SSL?
Jeśli adresy studentów to tylko skrzynki pocztowe na poczcie kampusu, byłoby to mniej rażące - ale nadal złe.
@w3d, połączenie było https, ale witryna korzystała z Ajax, więc zajrzałem do źródła HTML i znalazłem wyraźny link, którego używał.
@emory Nie, to nie są skrzynki pocztowe na kampusie.To ich osobisty adres.
Zwykle wszystko, co jest związane ze słowem „ujawnienie”, jest złe.
Jeśli / kiedy to zgłosisz, proponuję podkreślić fakt, że możesz zobaczyć oceny innych uczniów.Jest to bardziej prawdopodobne, że będzie to naruszenie niż publiczne udostępnianie ich adresów.Dwukrotnie zgłaszałem podobne problemy mojej poprzedniej uczelni, a problem był zawsze dobrze przyjmowany i szybko naprawiany, gdy dotarł do właściwej osoby.
@GhulamAli Czy z ciekawości miałeś okazję to zgłosić?Jeśli tak, czy podjęto jakieś działanie po stronie administratora?
@PriyankGupta Tak, zgłosiłem to 4 dni temu.Nie ma jeszcze odpowiedzi.Ale automatyczna odpowiedź na ten adres e-mail wskazywała, że odpowiedzą w ciągu 5 dni.
Tak więc otrzymałem odpowiedź, osoba poinformowała mnie, że przekazała mój e-mail do odpowiedniego działu, gdzie sprawa zostanie omówiona i skontaktują się ze mną w razie potrzeby.Zaktualizuję, jeśli otrzymam dalszą wiadomość.
Dziewięć odpowiedzi:
#1
+93
pri
2017-01-04 16:53:41 UTC
view on stackexchange narkive permalink

Przepraszam za brak wiedzy w tej sprawie.

Nie powinieneś.

Czy jest to powszechnie uznana praktyka czy uniwersytety mają ujawniać nazwiska i adresy studentów?

Jak wskazano w komentarzach, zależy to od lokalnych praw i przepisów. Na pewno powinieneś to raz sprawdzić. Ale sposób, w jaki opisujesz aplikację (zmieniając adres URL, aby uzyskać szczegółowe informacje, w tym wynik), brzmi jak błąd, który z pewnością powinien zostać zgłoszony.

Czy jest to powszechnie zatwierdzona praktyka dla uniwersytetów że silne zabezpieczenia związane z imieniem i nazwiskiem i adresem nie są ważne?

Nie, czy to uniwersytet, duża korporacja międzynarodowa, małe przedsiębiorstwo, czy Twoje osobiste konto, bezpieczeństwo jest ZAWSZE ważne.

Czy to poważny atak i czy muszę im to zgłosić? Czy można go po prostu zignorować?

Tak, musisz jak najszybciej zgłosić to na uniwersytecie. Nie należy tego ignorować.

EDYCJA: Jak wskazano w komentarzach, jest kilka uniwersytetów, które pozwalają na upublicznianie adresów studentów.

Należy pamiętać, że w zależności od lokalizacji uniwersytetu może to być * ogromna * odpowiedzialność prawna / finansowa ...
@JaredSmith Lub można to całkowicie zignorować, jak przypadek Troy Hunt, który opisał witrynę internetową ujawniającą informacje zdrowotne w Indiach https://www.troyhunt.com/43-203-indian-patient-pathology-reports-were-left-publicly-rozwiązania-narażone-na-zdrowie /
Jak wskazałem w mojej odpowiedzi [poniżej] (http://security.stackexchange.com/a/147245/111626), ta odpowiedź jest prawdopodobnie niedokładna.Uniwersytety w większości krajów Five Eyes publicznie ujawniają „informacje katalogowe” z możliwością rezygnacji.
@Jedi: OP mówi, że ma również dostęp do wyników, podczas gdy udostępniony przez Ciebie link sugeruje, że GPA / oceny nie powinny być upubliczniane.Osobiście nie chciałbym udostępniać nawet mojego stałego adresu światu zewnętrznemu.A jeśli przy uczelni jest takie ułatwienie, żeby podać dane studentów, to powinno być elegancko.Sposób, w jaki OP opisuje sytuację (numer rejestracyjny w adresie URL), brzmi jak błąd w serwisie.
@PriyankGupta dokładnie.Uniwersytety dzielą informacje klasy FERPA na dwie kategorie: „katalog” i „prywatne”.Stopnie, data urodzenia jest prywatna, dane kontaktowe i adres nie.„Nie, ujawnianie nazwisk i adresów jest poważnym naruszeniem prywatności”. Dlatego oświadczenie to jest niedokładne.Ujawnianie nazwisk i adresów jest dozwolone w polityce prywatności Stanów Zjednoczonych / Wielkiej Brytanii / itp.uniwersytety.Nie oznacza to, że bezpieczeństwo lub prywatność danych osobowych nie są ważne.OP powinien sprawdzić odpowiednie przepisy obowiązujące w jego kraju.Głosy za tą odpowiedzią oznaczałyby, że Stanford, MIT, CMU się mylą?
@Jedi: Teraz, gdy mam przykład Virginia Tech, zredagowałem odpowiedź.Dzięki za wkład!:)
@PriyankGupta nie jest kłótliwy, ale odpowiedź jest nadal niedokładna.To nie uniwersytet decyduje.Odpowiednie prawo, tj. FERPA w USA, wymaga, aby „Informacje z katalogu ucznia mogły zostać udostępnione pytającemu…”, a studenci muszą indywidualnie zrezygnować.Uniwersytety mogłyby / powinny być bardziej wrażliwe na prywatność i ułatwiać rezygnację, ale nazywanie tego poważnym atakiem bez znajomości faktów przyspiesza osąd.OP powinien najpierw sprawdzić odpowiednie przepisy i sposób ich stosowania oraz [w razie potrzeby wypełnić formularz] (https://www.cmu.edu/hub/ferpa.html).
@PriyankGupta: Na Uniwersytecie w Cambridge oceny są ogólnodostępne (są publikowane na ścianach Senatu).OTOH, jeśli jest to uniwersytet w Wielkiej Brytanii, ICO będzie wyraźnie niewzruszone.
@Jedu Na uczelni, w której pracowałem w USA, byłaby to ** ogromna ** sprawa.Mieliśmy studentkę zamordowaną przez agresywnego byłego, ponieważ ktoś dał mu o niej informacje, których nie powinni.Może nie jest to łamanie żadnych praw w 99,999% przypadków, ale jeden uczeń, który zrezygnował, mógł mieć bardzo dobry powód.
@JaredSmith większość organizacji będzie miała klauzulę w umowie / OWU / itp., Która zasadniczo mówi, że dajesz im pozwolenie na robienie wszystkiego, co chcą z twoimi informacjami, aby zapobiec pociągnięciu do odpowiedzialności, gdy wystąpią takie usterki.
@Aequitas, który powiedział klauzulę umowną i wstrzymał ją w sądzie, to dwie różne rzeczy.Ponadto uniwersytety żyją i umierają dzięki rekrutacji opartej na opinii publicznej.Żadna szkoła nie chciałaby takiego przeboju PR.
@Kat V, Oryginalna odpowiedź namalowana szerokim pędzlem, a zatem była niedokładna.Nie mam kłótni z odpowiedzią w jej aktualnej postaci.Dobrze jest usłyszeć, że uniwersytet podejmuje aktywne działania w celu poprawy prywatności.Czy jednak popierają swoje działania pisemną polityką, która gwarantuje to uczniom?Odbiór opinii publicznej jest przereklamowany.
Mimo że wiele uniwersytetów prowadzi publiczną książkę adresową, często istnieje sposób na rezygnację lub na to, aby niektóre informacje były niepubliczne, właśnie z powodu sytuacji, o których wspomniał @Kat.Jest oczywiście możliwe, że podane tutaj informacje są dokładnie takie same, jak te opublikowane w publicznie dostępnym katalogu, ale należy to zbadać w ramach określania wagi tej luki.
@MartinBonner duża różnica między publikowaniem gdzieś na ścianie a możliwością uzyskania do nich dostępu online poprzez możliwą niezamierzoną usterkę w witrynie.
Podstawowym problemem jest naruszenie oczekiwań prywatności.Jeśli uczniowie oczekują, że szkoła poda ich adres do wiadomości publicznej, gdy przekażą szkole te informacje, nie ma problemu.Jeśli tego nie zrobią, a szkoła pozwoli im się ujawnić, jest to poważny problem.Lokalne przepisy określają tylko, w jakich kłopotach znajduje się szkoła. Nawet jeśli nie miały zastosowania, istnieje tu imperatyw moralny.
Jeśli uczelnia zdecyduje się domyślnie upublicznić informacje, powinna wyraźnie o tym wspomnieć przy przyjmowaniu studentów, aby studenci nie byli pod żadnym fałszywym wrażeniem.
#2
+50
iainpb
2017-01-04 19:16:04 UTC
view on stackexchange narkive permalink

Jest to luka w zabezpieczeniach, sposób, w jaki wykorzystali sekwencjonowane zgadywalne liczby, aby uzyskać dostęp do rekordów, jest klasą podatności zwaną Insecure Direct Object Reference i jest opisywana na liście OWASP Top 10 ( https://www.owasp.org /index.php/Top_10_2013-A4-Insecure_Direct_Object_References)

W zależności od tego, gdzie na świecie mieszkasz, uniwersytet może naruszać przepisy o ochronie danych. Przynajmniej jest to słaba kontrola danych i narusza twoją prywatność, z pewnością powinieneś im o tym powiedzieć.

#3
+25
Norman Gray
2017-01-05 22:06:20 UTC
view on stackexchange narkive permalink

Ponieważ uniwersytet znajduje się w Wielkiej Brytanii, jest to prawie na pewno naruszenie DPA 1998. Oznacza to, że nie jest to wyłącznie kwestia „bezpieczeństwa”.

Adres zamieszkania ucznia z pewnością liczyłby się jako „dane osobowe” w rozumieniu ustawy. Fakt, że możesz odzyskać dane w ten sposób, jest, jestem bardzo pewien, naruszeniem zasady 7, a prawdopodobnie także 6 i 8). Zgodnie z zasadą dane osobowe muszą być

  1. przetwarzane rzetelnie i zgodnie z prawem;
  2. przetwarzane w ograniczonych celach;
  3. adekwatne , odpowiednie i nie nadmierne;
  4. dokładne;
  5. nie przechowywane dłużej niż jest to konieczne;
  6. przetwarzane zgodnie z prawami użytkowników;
  7. bezpieczny; i
  8. nie zostały przeniesione poza EOG.

Fakt, że musiałeś bardzo zhakować to, aby uzyskać informacje, nie zmienia się rzeczy: oznacza to, że nie jest to bezpieczne. Zasada 7 w całości brzmi: „Należy podjąć odpowiednie środki techniczne i organizacyjne przeciwko niedozwolonemu lub niezgodnemu z prawem przetwarzaniu danych osobowych oraz przypadkowej utracie, zniszczeniu lub uszkodzeniu danych osobowych”.

Ostatni stopień klasyfikacja liczyłaby się jako dane publiczne, w tym sensie, że częścią umowy z uniwersytetem jest powiedzenie ludziom, że ukończyłeś szkołę. Oceny wewnętrzne / pośrednie prawdopodobnie nie liczyłyby się jako dane publiczne (a „prawdopodobnie” oznacza, że ​​musiałby istnieć pozytywny argument, że zostały one uznane za publiczne, zanim będzie można je udostępnić w ten sposób).

Uczelnia powinna mieć biuro / oficera DPA, który podejmie działania balistyczne, gdy im to zgłosisz (i myślę, że powinieneś), i powinien być w stanie uzyskać presję na bardzo wysokie stanowisko, aby to zmienić. Może wydawać się, że nie robią dużego zamieszania w odpowiedzi na pańskie sprawozdanie, ale mam nadzieję, że natychmiast podejmą wewnętrzne działania. Jeśli nie naprawią tego szybko (a może nawet jeśli nie widzisz natychmiastowych dowodów , że to zrobili), zgłoś do ICO, zgodnie z sugestią według komentarza @ daiscog, byłoby właściwe.

Jeśli chodzi o kwestię zgłaszania tego anonimowo, możesz, jeśli chcesz, ale mam nadzieję, że to nie będzie miało znaczenia i że DP Office będzie odpowiednio dyskretne ( to w dużej mierze ich problem, a nie twój). Gdyby nastąpił jakikolwiek powrót, jestem pewien, że ICO byłaby bardzo zainteresowana, gdyby się o tym dowiedział.

W rzeczywistości jestem oficerem DP na naszym (brytyjskim) wydziale uniwersyteckim , i wiem, jak ja lub biuro DP uniwersytetu zareagowalibyśmy na wiadomość o tym.

(Pierwotnie zamieściłem to jako komentarz, ale po refleksji rozszerzyłem go na odpowiedź)

#4
+8
Jedi
2017-01-04 20:28:35 UTC
view on stackexchange narkive permalink

Możliwe, że jest to zgodne z projektem i nie jest uważane za wyciek poufnych informacji. Gdyby spojrzeć na internetowe katalogi, MIT, CMU, Stanford i inne, myślę, że wszystkie publicznie wymieniają katalogi studentów i pracowników.

Uniwersytety w Stanach Zjednoczonych są generalnie bardziej zaniepokojone FERPA, która chroni dane dotyczące edukacji studentów.

„Informacje z katalogu”, takie jak imię i nazwisko, adres, stan rejestracji i daty, nie są domyślnie chronione. Tutaj jest dobra lista tego, co kwalifikuje się jako informacje katalogowe i może zostać ujawnione opinii publicznej. Odpowiednie zastrzeżenie brzmi:

Informacje z katalogu studenta mogą zostać udostępnione pytającemu poza Uniwersytetem, chyba że student wyraźnie zażąda, aby informacje z katalogu nie zostały ujawnione.

Na twoim miejscu rozglądałbym się za polityką prywatności przed skontaktowaniem się z uniwersytetem. Prawdopodobnie jest to zamierzone. Twoja uczelnia prawdopodobnie ma klauzulę rezygnacji, aby chronić informacje z katalogu.

Ponadto większość witryn ma swoje katalogi na listach do indeksowania, więc Twoje rekordy nie są dostępne online w wyszukiwarkach. Możesz sprawdzić plik robots.txt.

Biorąc to pod uwagę, oceny nigdy nie powinny być ujawniane. W praktyce, w rzadkim przypadku FERPA, oceny odnoszą się do ocen listowych / transkrypcyjnych, a nie do indywidualnych ocen w klasie, które czasami są uważane za „notatki wykładowcy”.

Żadna ze stron uniwersytetu, do których prowadzą linki, nie zawiera adresów studentów ani pracowników.Pokazują tylko nazwiska uczniów, identyfikatory kampusów i szkolne e-maile.
Aby wesprzeć @Jedi,, mogę potwierdzić, że Virginia Tech z pewnością pokazuje adresy uczniów wszystkich, którzy nie zrezygnowali.search.vt.edu/people.jsp
@Yay295: wyszukuje Aikena w katalogu Stanforda [podaje mi wszystkie jego informacje] (https://stanfordwho.stanford.edu/SWApp/detailAction.do?key=DS036G974&search=aiken&soundex=&stanfordonly=&affilfilter=everyone&filters=closed thelink będzie się utrzymywał).Moja uczelnia ujawnia moje dane, a ja skontaktowałem się z nimi, aby dowiedzieć się o odpowiednich sekcjach FERPA.
@Jedi,, który wydaje się być wyjątkiem, a nie regułą.Sprawdziłem 100 losowych wyników i tylko 4 z nich pokazało swój adres domowy.Gdybyś musiał zrezygnować z ukrycia tych informacji, spodziewałbym się, że będzie wyższy, więc wydaje się prawdopodobne, że te osoby specjalnie zdecydowały się ujawnić swój adres domowy.
Do 2014 roku MIT wyświetlał wszystkie te informacje w swoim katalogu https://thetech.com/2014/07/09/mitpeople-v134-n29
@Yay295 sposób, w jaki to działa na mojej uczelni (w przypadku adresów domowych / numerów telefonów), polega na tym, że wypełniasz formularz dostarczający uniwersytetowi informacje, które zwykle wykonujesz jako wykładowca, personel lub płatny asystent dydaktyczny / naukowy.Nie chodzi mi o to, że wyświetlanie informacji adresowych jest powszechne / powszechne, ale że jest zgodne z prawem.Cytuję odpowiednie fragmenty FERPA, które mają zastosowanie.
Plik robots.txt nie jest środkiem bezpieczeństwa (w szczególności, gdy jest napisane „Drogi Google, nie patrz na supersecretpage”, może to raczej pomóc atakującym go znaleźć)
@HagenvonEitzen dobra uwaga.W tym przypadku jest używany zgodnie z przeznaczeniem.Ma to na celu zapobieganie indeksowaniu informacji kontaktowych przez „miłe” roboty, aby nie pojawiały się one na przykład w wyszukiwarce Google.
Chociaż OP pytał tylko wprost o informacje z katalogu, moim zdaniem powinieneś położyć większy nacisk na ostatni akapit: Łącząc inne informacje z informacjami z katalogu, staje się to ogromnym problemem, który należy rozwiązać!
Ta odpowiedź jest nieprawidłowa.Program operacyjny znajduje się w Wielkiej Brytanii, dlatego zastosowanie mają przepisy Wielkiej Brytanii / EOG / UE.Dane osobowe to wszelkie dane lub kombinacje danych, które można wykorzystać do identyfikacji i indywidualnego, jakim z pewnością jest nazwisko i adres.Te dane nigdy nie powinny były zostać ujawnione.
@Ben, Brakowało mi aktualizacji lokalizacji OP.Odpowiednio zaktualizuję odpowiedź, aby wskazać, że dotyczy ona tylko USA.
#5
+5
symcbean
2017-01-04 23:06:48 UTC
view on stackexchange narkive permalink

Chociaż odpowiedź została zaakceptowana i zarówno Priyank, jak i Iain przedstawiają kilka dobrych punktów, myślę, że warto przyjrzeć się dokładniej pytaniu, czy są to dane wrażliwe.

Po pierwsze, jest coś różnicy między wynikami egzaminów (zazwyczaj student będzie miał wiele egzaminów w trakcie studiów) a kwalifikacjami (tj. ostatecznym nadaniem przez uczelnię). Można więc wywnioskować, czy dana osoba jest obecnie studentem.

Te informacje otwierają drzwi dla wszelkiego rodzaju ukierunkowanego phishingu - osób udających pożyczkę studencką, oferujących refinansowanie lub udających oficjalnych organizacje absolwentów.

Jest to również wielki atut w przypadku fałszowania tożsamości. Chociaż nigdy nie spotkałem się z pytaniem, które chciałbym mieć dwa czynniki dotyczące szkolnictwa wyższego („Jaka była nasza pierwsza szkoła” nadal wydaje się powszechne), taka usługa ułatwiłaby oszukańcze wnioski o pracę / kredyt .

W związku z tym pytanie, czy jest to objęte polityką prywatności organizacji, czy lokalnymi przepisami, jest dyskusyjne: stanowi zaniedbanie obowiązku opieki nad studentami / absolwentami przez dostawców.

Ale z drugiej strony wydaje mi się szalone, że jedynym sposobem, w jaki mogę udowodnić komuś, kto o to pyta (np. Potencjalnemu pracodawcy), jakie mam stopnie naukowe, jest pokazanie mu kawałka papieru (stosunkowo łatwy do sfałszowania). Ale wyobrażam sobie, że większość ludzi, którzy to czytają, byłaby w stanie wymyślić proste, skuteczne sposoby bezpiecznego ujawnienia takich informacji.

Firmy IME po prostu dzwonią do szkoły, aby potwierdzić ukończenie szkoły.Pamiętam tylko pracę za granicą, w której prosiłem o transkrypcje z powodu prawa.Nigdy w stanach.
#6
+4
Stig Hemmer
2017-01-05 14:44:52 UTC
view on stackexchange narkive permalink

Osobiście najbardziej martwi mnie to, że system ujawnia identyfikator rejestracji uczniów.

Nie wiem, jak się sprawy mają na waszej uczelni, ale jako student pisaliśmy RI na arkuszach odpowiedzi egzaminacyjnych, żeby oceniający nie wiedzieli, kto jest kim.

Na twoim uniwersytecie oceniający mogą sprawdzić, kto jest kim i jest to moim zdaniem poważne naruszenie bezpieczeństwa.

Wydział i tak może wyszukać identyfikatory rejestracyjne - na każdym uniwersytecie, na którym pracowałem, i jestem pewien, że gdziekolwiek indziej.W jaki inny sposób oceny byłyby powiązane z odpowiednim uczniem?Chodzi o to, że podczas oceniania nie wiedzą, komu odpowiada liczba, aby zmniejszyć nieświadome uprzedzenia.
#7
+3
Tim X
2017-01-06 08:46:12 UTC
view on stackexchange narkive permalink

Jeśli informacje o ocenach uczniów pozwalają na osobistą identyfikację osoby, jest to prawie na pewno problem. Jeśli z drugiej strony widzisz tylko stopnie związane z jakąś nieznaną osobą, tj. Związane z jakąś liczbą, ale nie możesz dokładnie określić, kogo ta liczba reprezentuje, to może nie być traktowane jako kwestia bezpieczeństwa, ponieważ można argumentować, że dane zostały zanonimizowane . Wiele zależy od obowiązującego prawa dotyczącego prywatności (najprawdopodobniej ustawodawstwa Wielkiej Brytanii, ale może na to wpłynąć kraj, w którym dane są przechowywane / zlokalizowane, oraz polityka prywatności instytucji. Na przykład studenci mogą być zobowiązani do wyrażenia zgody na udostępnienie wyników) dane są udostępniane publicznie w ramach warunków rejestracji. Jest to jednak mało prawdopodobne.

W większości krajów obowiązują przepisy dotyczące prywatności, które określają, co jest uważane za dane prywatne lub osobowe, aw niektórych przypadkach nakładają dodatkowe obowiązki na hosting organizacji w odniesieniu do poziomu uprawnień, jakie muszą uzyskać od osoby fizycznej, aby upublicznić dane i jakie działania muszą podjąć, jeśli dane zostaną przypadkowo ujawnione lub naruszone w wyniku pewnego rodzaju naruszenia bezpieczeństwa. Na przykład w USA, jeśli firma ma incydent, w którym dane osobowe są celowo lub przypadkowo narażone na szwank, a dane mogą mieć skutki finansowe, takie jak ujawnienie szczegółów karty kredytowej, organizacja jest zobowiązana do zapewnienia usług monitorowania kredytów osobom, których to dotyczy, przez określony czas. W niektórych krajach obowiązują również przepisy dotyczące zgłaszania i powiadamiania o naruszeniach danych, które wymagają od organizacji powiadamiania osób fizycznych i często organu centralnego o naruszeniu danych.

Niestety, rządy miały trudności z opracowaniem jasnego i spójnego ustawodawstwa dotyczącego prywatności i utrzymania ustawodawstwo, które jest w stanie nadążyć za technologią. Między krajami istnieją znaczne różnice z różnym naciskiem i celami. Na przykład Stany Zjednoczone mają znaczne polityki dotyczące prywatności i obowiązkowego zgłaszania, ale mają również przepisy dotyczące bezpieczeństwa wewnętrznego i zwalczania terroryzmu, które według niektórych zagrażają prywatności danych osobowych. Niemcy i wiele innych krajów europejskich ma różne surowe przepisy dotyczące ochrony prywatności. Australia stosunkowo niedawno zaktualizowała przepisy dotyczące prywatności, ale ma trudności z wprowadzeniem obowiązkowych przepisów dotyczących zgłaszania naruszeń danych itp.

Z twojego opisu podejrzewam, że rzeczywiście odkryłeś lukę w dostępie do danych i prawie na pewno powinieneś zgłosić to Uniwersytetowi. Niestety, nie zawsze łatwo jest dowiedzieć się, jak zgłosić takie problemy. Pierwszym miejscem do sprawdzenia byłoby przyjrzenie się polityce prywatności organizacji. Jest również prawdopodobne, że w Wielkiej Brytanii istnieje organ centralny, taki jak osoba zajmująca się ochroną prywatności, której możesz również zgłosić ten problem.

Należy również pamiętać, że należy zachować ostrożność podczas uzyskiwania dostępu do tych danych, zwłaszcza opisaną przez Ciebie technikę manipulowania adresami URL lub podanie szczegółowych informacji dotyczących sposobu uzyskiwania dostępu do danych. W niektórych krajach można argumentować, że złamałeś prawo i możesz zostać oskarżony o „włamanie”. Tempo zmian technicznych w połączeniu z brakiem zrozumienia w ramach systemów prawnych i sądowych doprowadziło do powstania niektórych źle opracowanych przepisów i interpretacji prawnej tych przepisów. Odnotowano szereg przypadków, w których osoby zostały oskarżone o publikowanie informacji o lukach w dostępie do danych. Chociaż takie oskarżenia zwykle nie prowadzą do skazania, najlepiej unikać potencjalnych kłopotów, jakie niosą ze sobą tego rodzaju oskarżenia.

#8
+3
user135650
2017-01-08 16:25:02 UTC
view on stackexchange narkive permalink

Rzeczywiście. Zwłaszcza jeśli uniwersytet zgodzi się zachować takie informacje w tajemnicy, może to być poważne naruszenie ich własnych zasad.

#9
+2
iyrin
2017-01-06 14:44:24 UTC
view on stackexchange narkive permalink

W Stanach Zjednoczonych samo napisanie prostego scenariusza, który usunie takie informacje, może dać ci 3,5 roku wyroku. Jeśli uniwersytet nie zamierzał upublicznić tych informacji, zostanie to uznane za lukę.

+1 To była odpowiedź, o której myślałem.Czasami wystarczy uzyskać dostęp do „chronionego” systemu, aby zobaczyć czyjeś prywatne dane, bez względu na to, jak luźne mogą być zabezpieczenia, zawsze istnieje ryzyko, że haker zostanie ukarany grzywną, więzieniem lub jednym i drugim.


To pytanie i odpowiedź zostało automatycznie przetłumaczone z języka angielskiego.Oryginalna treść jest dostępna na stackexchange, za co dziękujemy za licencję cc by-sa 3.0, w ramach której jest rozpowszechniana.
Loading...