È una vulnerabilità di sicurezza se vengono esposti gli indirizzi degli studenti universitari?

91

Mi dispiace per la mia mancanza di conoscenza in questa materia.

La mia università (fondamentalmente un'università internazionale nel Regno Unito con studenti di diversi paesi) ha un sito Web che richiede agli studenti di accedere prima che possano accedere ai risultati degli esami. Questi risultati includono anche il loro nome e indirizzo.

Ma esaminando la transazione di rete, ho scoperto che è andato a una pagina che prende direttamente il numero di registrazione dello studente nell'URL e mostra il risultato dell'esame relativo a quello. È possibile accedere a questa pagina senza accedere all'account studente e senza problemi, mi ha dato il risultato dell'esame che ha esposto il nome e l'indirizzo dello studente. Ho provato più numeri di registrazione simili ai miei e tutti sono stati elaborati facilmente.

Un altro problema è che questi numeri di registrazione sono in lunghezza fissa, contengono solo numeri e sono in ordine crescente. Ad esempio, se un numero di registrazione valido è 000001, il prossimo sarà 000002 e così via.

Quindi, a mio parere, un utente malintenzionato può facilmente creare un programma automatizzato in grado di generare questi numeri di registrazione, in ordine casuale o in ordine, e ottenere i nomi e gli indirizzi di centinaia di studenti.

Le mie domande sono:

  1. È prassi universalmente riconosciuta per le università di esporre i nomi e gli indirizzi degli studenti?
  2. È prassi universalmente approvata per le università che una strong sicurezza relativa al nome e all'indirizzo non è importante?
  3. È un attacco grave e devo segnalarlo a loro? O può semplicemente essere ignorato?

Aggiornamento:

Ho ricevuto la risposta dall'università e ora l'hanno riparata. Grazie a tutti voi.

    
posta Ghulam Ali 04.01.2017 - 11:39
fonte

9 risposte

94

I am sorry for my lack of knowledge in this matter.

Non dovresti esserlo.

Is it universally approved practice for universities to expose the name and addresses of students?

Come sottolineato nei commenti, dipende dalle leggi e dai regolamenti locali. Dovresti sicuramente controllarlo una volta. Ma il modo in cui descrivi l'applicazione (cambiando l'URL per ottenere i dettagli, incluso il risultato), sembra un bug, che dovrebbe essere sicuramente riportato.

Is it universally approved practice for universities that strong security related to name and address is not important?

No, che si tratti di un'università o di una grande multinazionale o di una piccola impresa o del tuo account personale, la sicurezza è SEMPRE importante.

Is it a severe attack and do I have to report it to them? Or it can be simply ignored?

Sì, devi segnalarlo all'università, il prima possibile. Non dovrebbe essere ignorato.

EDIT: come indicato nei commenti, ci sono alcune università che consentono di rendere pubblici gli indirizzi degli studenti.

    
risposta data 04.01.2017 - 11:53
fonte
50

Questa è una vulnerabilità, il modo in cui hanno utilizzato i numeri indeterminati sequenziali per accedere ai record è una classe di vulnerabilità chiamata Riferimento agli oggetti diretti non sicuri ed è inclusa in OWASP Top 10 ( link )

A seconda di dove vivi, l'università potrebbe violare le leggi sulla protezione dei dati. Per lo meno è uno scarso controllo dei dati e viola la vostra privacy personale, dovreste certamente dirglielo.

    
risposta data 04.01.2017 - 14:16
fonte
25

Poiché l'università è nel Regno Unito, si tratta quasi certamente di una violazione del DPA 1998 . Cioè, questo non è strettamente un problema di "sicurezza".

L'indirizzo di casa di uno studente conterebbe certamente come "dati personali" nei termini della legge. Il fatto che tu possa recuperare i dati in questo modo è, ne sono certo, una violazione del principio 7 e probabilmente anche del 6 e dell'8). I principi sono che dati personali devono essere

  1. elaborato in modo equo e lecito;
  2. elaborati per scopi limitati;
  3. adeguato, pertinente e non eccessivo;
  4. accurate;
  5. non viene conservato più a lungo del necessario;
  6. elaborati in linea con i diritti degli utenti;
  7. sicuro; e
  8. non trasferito al di fuori del SEE.

Il fatto che tu abbia dovuto molto hack leggermente per ottenere le informazioni non cambia le cose: significa che non è sicuro. Il principio 7, nella sua interezza, è: "Adeguate misure tecniche e organizzative devono essere prese contro l'elaborazione non autorizzata o illecita di dati personali e contro la perdita accidentale, la distruzione o il danneggiamento di dati personali".

Una classificazione finale di laurea dovrebbe essere considerata come dati pubblici, nel senso che parte del tuo contratto con l'università è che direbbero alle persone che sei laureato. I marchi interni / intermedi probabilmente non contano come dati pubblici (e che "probabilmente" significa che ci dovrebbe essere un argomento positivo che hanno considerato come pubblico, prima che fosse corretto renderli disponibili in questo modo).

L'università dovrebbe avere un ufficio / funzionario della DPA che andrà in balia quando riferirai a loro (e penso che dovresti), e dovrebbe essere in grado di ottenere una pressione molto alta per cambiarlo. Potrebbero non sembrare molto preoccupati in risposta alla tua relazione, ma spero che intraprenderebbero un'azione immediata a livello interno. Se non lo risolvono prontamente (o forse anche se non vedi immediatamente prove che lo hanno fatto), allora un rapporto all'ICO , come suggerito dal commento di @ daiscog, sarebbe corretto.

Per quanto riguarda la segnalazione di questo in modo anonimo, potresti farlo se vuoi, ma spero che non importi, e che il DP Office sia discretamente discreto (questo è molto il loro problema, non il tuo). Se ci fosse qualche ritorno, sono sicuro che l'ICO sarebbe estremamente interessato a sentirlo.

Sono in effetti l'ufficiale DP nel nostro dipartimento universitario (Regno Unito) e so come io o l'ufficio DP universitario risponderemo a questo riguardo.

(Inizialmente avevo postato questo come un commento, ma su riflessione l'ho espanso in una risposta)

    
risposta data 05.01.2017 - 17:06
fonte
8

È possibile che sia di progettazione e non concepita come perdita di informazioni sensibili. Se dovessi esaminare le directory online, MIT , CMU , Stanford , e ogni altra cosa che penso di tutti elencano pubblicamente gli elenchi degli studenti e del personale.

Le università negli Stati Uniti sono generalmente più preoccupate per FERPA , che protegge i record di istruzione degli studenti.

"Informazioni sulla directory" come nome, indirizzo, stato della registrazione e date non sono protette per impostazione predefinita. Qui è un buon elenco di ciò che si qualifica come informazione di directory e può essere rivelato al pubblico. La clausola pertinente recita:

A student's directory information may be released to an inquirer, outside the University, unless the student specifically requests that directory information be withheld.

Se fossi in te, guarderei in giro per una politica sulla privacy prima di contattare l'università. È probabile intenzionale. La tua università probabilmente ha una clausola di opt-out per proteggere le informazioni della tua directory.

Inoltre, la maggior parte dei siti web ha le loro directory sugli elenchi di non-scansione, in modo che i tuoi record non siano online sui motori di ricerca. Potresti voler controllare robots.txt .

Detto questo, i voti non dovrebbero mai essere divulgati. In pratica, in un caso FERPA raro , i gradi si riferiscono ai voti di lettere / trascrizioni e non ai singoli punteggi di classe che a volte considerato "note del docente".

    
risposta data 04.01.2017 - 15:28
fonte
5

Anche se una risposta è stata accettata e sia Priyank che Iain fanno alcuni punti positivi, penso che valga la pena di esaminare se questi siano dati sensibili in modo più approfondito.

Prima di tutto, c'è una certa differenza tra i risultati degli esami (in genere uno studente avrà molti esami durante il corso di studi) e le qualifiche (vale a dire il riconoscimento finale da parte dell'istituto). Quindi è anche possibile dedurre se un individuo è attualmente uno studente.

Queste informazioni aprono la porta a tutti i tipi di phishing mirati - persone che fingono di essere un fornitore di prestiti agli studenti, che offrono rifinanziamenti o che fingono di essere organizzazioni ufficiali degli alunni.

È anche una grande risorsa per la frode dell'identità. Anche se non ho mai incontrato una domanda wish-it-was-two-factor sull'istruzione superiore ("Cosa era la nostra prima scuola "sembra ancora comune", una tale struttura faciliterebbe le applicazioni fraudolente di lavoro / credito.

Quindi, la questione se questo rientra nella politica sulla privacy delle organizzazioni o nella regolamentazione locale è discutibile: costituisce un abbandono del dovere di diligenza dei fornitori per i loro studenti / laureati.

Ma il rovescio della medaglia è che mi sembra pazzesco che l'unico modo in cui posso dimostrare che gradi ho a qualcuno che chiede (ad esempio un potenziale datore di lavoro) è di mostrare loro un po 'di carta (relativamente facile da falsificare ). Ma immagino che la maggior parte della gente che legge questo sia in grado di pensare a soluzioni semplici ed efficaci per svelare in modo sicuro tali informazioni.

    
risposta data 04.01.2017 - 18:06
fonte
4

Personalmente, mi preoccupa soprattutto che il sistema mostri l' ID di registrazione degli studenti.

Non so come stanno le cose nella tua università, ma nel mio tempo di studente, abbiamo scritto il RI sui nostri fogli di risposta per gli esami in modo che i selezionatori non sapessero chi era chi.

Nella tua università, i selezionatori possono cercare chi è chi e che è, a mio parere, una grave violazione della sicurezza.

    
risposta data 05.01.2017 - 09:44
fonte
3

Se le informazioni sui voti degli studenti possono identificare personalmente un individuo, questo è quasi certamente un problema. Se d'altra parte, tutto ciò che puoi vedere sono i gradi associati ad alcuni individui sconosciuti, cioè associati ad un certo numero, ma non è possibile determinare con precisione chi rappresenti quel numero, quindi non può essere considerato un problema di sicurezza in quanto si potrebbe sostenere che i dati siano stati anonimi. Molto dipende dalla legislazione sulla privacy in vigore (molto probabilmente la Legislazione del Regno Unito, ma questo può essere influenzato dal paese in cui si trovano i dati ospitato / situato e le politiche sulla privacy dell'istituto. Per esempio, agli studenti potrebbe essere richiesto di accettare di consentire la realizzazione dei dati dei risultati pubblico come parte dei termini e condizioni di iscrizione. Tuttavia, questo è improbabile.

La maggior parte dei paesi ha una legislazione sulla privacy che determina ciò che è considerato essere informazioni private o personali e, in alcuni casi, impongono ulteriori informazioni responsabilità dell'organizzazione ospitante rispetto a quale livello di il permesso che devono ottenere dall'individuo per rendere pubblici i dati e cosa azioni che devono intraprendere nel caso in cui i dati vengano divulgati o violati accidentalmente un qualche tipo di errore di sicurezza. Ad esempio, negli Stati Uniti, se un'azienda ha un incidente in cui i dati personali vengono deliberatamente o accidentalmente compromessi e che i dati hanno possibili implicazioni finanziarie, come l'esposizione del credito dettagli della carta, l'organizzazione è tenuta a fornire servizi di monitoraggio del credito alle persone affette per un periodo di tempo. Alcuni paesi hanno anche l'obbligo legislazione sulla segnalazione e sulla notifica delle violazioni dei dati, che richiede l 'autorizzazione organizzazione per notificare individui e spesso un'autorità centrale quando i dati lo hanno stato compromesso.

Sfortunatamente, i governi hanno faticato a svilupparsi in modo chiaro e coerente legislazione relativa alla privacy e mantenere una legislazione che sia in grado di tenere il passo con la tecnologia. Ci sono differenze significative tra i paesi con diversa enfasi e obiettivi. Ad esempio, gli Stati Uniti hanno notevoli politiche relative alla privacy e alla segnalazione obbligatoria, ma hanno anche legislazione in materia di sicurezza nazionale e antiterrorismo che alcuni ritengono compromette la privacy dei dati personali. Germania e un certo numero di altri europei i paesi hanno normative diverse per proteggere la privacy personale. Australia ha aggiornato relativamente recentemente la legislazione sulla privacy personale, ma è in difficoltà introdurre norme obbligatorie sulla segnalazione di violazioni dei dati ecc.

Dalla tua descrizione, sospetto che tu abbia effettivamente scoperto un accesso ai dati vulnerabilità e dovresti quasi certamente segnalarlo al Università. Sfortunatamente, non è sempre facile scoprire come segnalarlo problemi. Il primo posto da verificare sarebbe quello di guardare alla privacy dell'organizzazione politica. È anche probabile che il Regno Unito abbia un'autorità centrale, come la privacy difensori civici, che puoi segnalare anche a questo problema.

Dovresti anche essere consapevole del fatto che devi essere molto cauto nell'accedere a questo dati, in particolare utilizzando la tecnica di manipolazione degli URL che hai descritto o fornito dettagli specifici su come accedere ai dati. In alcuni paesi, potrebbe si sostiene che hai violato la legge e potresti essere accusato di 'Hacker'. Il ritmo del cambiamento tecnico combinato con una mancanza di comprensione all'interno del sistema legislativo e giudiziario è risultata una pessima redazione legislazione e interpretazione legale di tale legislazione. Ci sono stati a numero di casi in cui le persone sono state accusate di pubblicizzare l'accesso ai dati vulnerabilità. Mentre tali accuse di solito non risultano in una condanna, il i potenziali fastidi che questo tipo di addebito porta con sé è meglio evitare.

    
risposta data 06.01.2017 - 03:46
fonte
3

In effetti. Soprattutto se l'università si impegna a mantenere riservate tali informazioni, ciò potrebbe costituire un'enorme violazione delle loro stesse politiche.

    
risposta data 08.01.2017 - 11:25
fonte
2

Negli Stati Uniti, la semplice scrittura di un semplice script che cancella tali informazioni può farti ottenere un 3,5 anni di pena . Se l'università non ha intenzione di rendere pubbliche queste informazioni, verrà considerata una vulnerabilità.

    
risposta data 06.01.2017 - 09:44
fonte

Leggi altre domande sui tag