Mi dispiace per la mia mancanza di conoscenza in questa materia.
La mia università (fondamentalmente un'università internazionale nel Regno Unito con studenti di diversi paesi) ha un sito Web che richiede agli studenti di accedere prima che possano accedere ai risultati degli esami. Questi risultati includono anche il loro nome e indirizzo.
Ma esaminando la transazione di rete, ho scoperto che è andato a una pagina che prende direttamente il numero di registrazione dello studente nell'URL e mostra il risultato dell'esame relativo a quello. È possibile accedere a questa pagina senza accedere all'account studente e senza problemi, mi ha dato il risultato dell'esame che ha esposto il nome e l'indirizzo dello studente. Ho provato più numeri di registrazione simili ai miei e tutti sono stati elaborati facilmente.
Un altro problema è che questi numeri di registrazione sono in lunghezza fissa, contengono solo numeri e sono in ordine crescente. Ad esempio, se un numero di registrazione valido è 000001, il prossimo sarà 000002 e così via.
Quindi, a mio parere, un utente malintenzionato può facilmente creare un programma automatizzato in grado di generare questi numeri di registrazione, in ordine casuale o in ordine, e ottenere i nomi e gli indirizzi di centinaia di studenti.
Le mie domande sono:
- È prassi universalmente riconosciuta per le università di esporre i nomi e gli indirizzi degli studenti?
- È prassi universalmente approvata per le università che una strong sicurezza relativa al nome e all'indirizzo non è importante?
- È un attacco grave e devo segnalarlo a loro? O può semplicemente essere ignorato?
Aggiornamento:
Ho ricevuto la risposta dall'università e ora l'hanno riparata. Grazie a tutti voi.