我的大学(主要是英国的国际大学,有来自不同国家的学生)有一个网站,要求学生登录后才能访问他们的检查结果。这些结果还包括他们的姓名和地址。
但是,通过检查网络交易,我发现它转到了一个页面,该页面直接在URL中获取学生注册号并显示与该事件相关的考试结果。 。无需登录学生帐户即可访问此页面,也没有任何麻烦,它给了我显示学生姓名和地址的考试结果。我尝试了多个类似于我的注册号,并且都易于处理。
另一个问题是,这些注册号是固定长度的,仅包含数字并且按升序排列。因此,例如,如果一个有效的注册号是000001,那么下一个将是000002,依此类推。
因此,在我看来,攻击者可以轻松创建一个自动化程序,该程序可以随机或随机地生成这些注册号。我要问的是:
大学是否公开了姓名和地址?学生的地址?
是否普遍认可的做法是大学的名称和地址的安全性不重要?
这是严重的攻击,我必须向他们报告吗?还是可以简单地忽略它?
更新:
我收到了大学的答复,他们现在已将其修复。谢谢大家。
#1 楼
很抱歉,我对此事缺乏知识。
你不应该。正如大学在评论中指出的那样,这是否取决于大学的做法来公开学生的姓名和地址?
这取决于您当地的法律法规。您当然应该检查一次。但是,您描述应用程序的方式(更改URL以获取详细信息(包括结果)),听起来像是个bug,应该报告。
它是否被普遍认可?对于那些与姓名和地址相关的强安全性并不重要的大学?
否,无论是大学,大型跨国公司或小型企业,还是您自己的个人帐户,安全总是重要。
这是一次严重的攻击,我是否必须向他们报告?还是可以简单地忽略它?
是的,您必须尽快将其报告给大学。
编辑:正如评论中指出的那样,有些大学确实允许公开学生的地址。
评论
请注意,根据大学的所在地,这可能是巨大的法律/金融责任...
–杰瑞德·史密斯(Jared Smith)
17年1月4日在13:42
@JaredSmith或可以完全忽略,例如Troy Hunt报道的在印度网站上公开健康信息的网站troyhunt.com / ...
–毛里西
17年1月4日在15:03
正如我在下面的答案中指出的那样,此答案可能不准确。大多数五眼国家的大学都公开披露“目录信息”,并且有可能选择退出。
–杰迪
17年1月4日在15:05
@PriyankGupta不能引起争议,但是答案仍然不正确。决定的不是大学。相关法律,例如美国的FERPA,要求学生的目录信息可能会发布给查询者...而学生必须单独选择退出。大学可能/应该对隐私更加敏感,并使其更容易选择退出,但是将其称为严重攻击却不知道事实急于作出判断。 OP应该首先检查相关法律及其适用方式,并在需要时填写表格。
–杰迪
17年1月4日在16:56
@Jedu在我以前在美国工作的一所大学里,这将是一笔不小的数目。我们有一个学生被辱骂的前男友谋杀,因为有人给了他一个她不应该拥有的关于她的信息。也许在99.999%的案件中没有违反任何法律,但是选择退出的一名学生可能有很好的理由。
–凯特
17年1月4日在20:36
#2 楼
这是一个漏洞,他们使用顺序可猜测数字来访问记录的方式是一类称为不安全直接对象引用的漏洞,并且在OWASP Top 10(https://www.owasp.org/index.php/Top_10_2013 -A4-Insecure_Direct_Object_References)根据您所居住的世界的不同,大学可能会违反数据保护法。至少,这是糟糕的数据控制并侵犯了您的个人隐私,您一定应该告诉他们。
#3 楼
由于大学位于英国,因此几乎可以肯定这违反了1998年DPA。也就是说,这并不是狭义的“安全性”问题。学生的家庭住址肯定会算作“个人”数据”)。我敢肯定,您可以通过这种方式检索数据的事实违反了原则7,也可能违反了原则6和8)。原则是必须对个人数据进行
公正合法的处理;
出于有限的目的进行处理;
充分,相关且不过度;
准确;
保留的时间不应超过必要的时间;
根据用户权利进行处理;
安全;并且
没有随EEA转移。
您必须非常谨慎地破解才能获取信息这一事实并不会改变事情:这意味着它并不安全。原则7,完全是“应采取防止个人数据的未授权或非法处理和防止意外丢失或破坏,或损坏,个人数据适当的技术和组织措施。”
最后学位分类将被视为公共数据,在某种意义上,您与大学签订的合同的一部分是他们会告诉人们您已经毕业。内部/中间标记可能不会算作公开数据(“可能”意味着必须肯定地说,它们确实可以算作公开,然后才能像这样公开使用)。
该大学应该有一个DPA办公室/官员,当您向他们报告时(我认为应该),他们会进行弹道训练,并且应该能够施加很高的压力来进行更改。他们似乎对您的报告没有什么大惊小怪的,但我希望他们会在内部立即采取行动。如果他们没有及时修复(或者即使您没有立即看到他们这样做的证据),那么@daiscog的评论建议向ICO提交报告也是适当的。
关于匿名举报的问题,可以根据需要进行,但我希望这无关紧要,并且DP办公室会适当谨慎(这很大程度上是他们的问题,而不是您的问题)。如果有任何卷土重来的事情,我相信ICO将对此非常感兴趣。
我实际上是我们(英国)大学系的DP总监,而且我知道我如何否则大学DP办公室将对此消息做出回应。
(我最初将其发布为评论,但经过反思,将其扩展为答案)
#4 楼
这可能是设计使然,而不是认为是敏感信息的泄漏。如果要在线查看目录,那么MIT,CMU,斯坦福大学和其他任何我都认为公开列出的学生和教职员目录。美国的大学通常更关注FERPA,保护学生的教育记录。
默认情况下,“目录信息”(例如名称,地址,注册状态和日期)不受保护。这是一份合格的目录信息清单,可以向公众公开。相关规定如下:除非学生特别要求保留目录信息,否则学生的目录信息可能会发布给大学以外的查询者。
如果我是你,在联系大学之前,我会先看看隐私政策。这可能是故意的。您的大学可能有一个选择退出条款来保护您的目录信息。
此外,大多数网站的目录都位于禁止爬网列表中,因此您的记录不在搜索引擎上在线。您不妨查看robots.txt。
话说,永远不要透露成绩。在实践中,在极少数的FERPA案例中,成绩是指字母/成绩成绩,而不是有时被视为“讲师笔记”的个别课堂成绩。
评论
您链接的大学页面均未显示学生或员工的地址。它们仅显示学生姓名,校园ID和学校电子邮件。
–是
17年1月4日在16:10
为了支持@Jedi,我可以确认Virginia Tech当然会显示任何不选择退出的人的学生地址。 search.vt.edu/people.jsp
– HammerN'Songs
17年1月4日在16:25
@ Yay295:在斯坦福目录中搜索Aiken会得到我所有的信息(不确定链接是否会持续)。我的大学透露了我的细节,我跟着他们了解了FERPA的相关部分。
–杰迪
17年1月4日在16:35
@Jedi,这似乎是例外,而不是常规。我检查了100个随机结果,其中只有4个显示了家庭住址。如果您不得不退出以隐藏此信息,我希望它会更高,因此这些人似乎特别选择释放了他们的家庭住址。
–是
17年1月4日在17:32
robots.txt并不是一种安全措施(尤其是当它显示“尊敬的google,请不要关注supersecretpage”时,它可能更有助于攻击者找到它)
–哈根·冯·埃岑
17年1月4日在19:34
#5 楼
尽管已经接受了一个答案并且Priyank和Iain都提出了一些好的观点,但我认为值得深入研究这是否是敏感数据的问题。首先,有一些考试结果(通常是学生在学习过程中会参加许多考试)与资格(即该机构的最终奖项)之间的差异。因此,也有可能推断出某个人当前是否是学生。
此信息为各种针对性的网络钓鱼打开了大门-假装自己是学生贷款提供商,提供再融资或假装自己的学生。官方校友组织。
它也是身份欺诈的重要资产。尽管我从来没有遇到过关于高等教育的“两个问题”的问题(“我们的第一所学校”似乎仍然很普遍),但这样的设施将促进欺诈性的工作/信用申请。
因此,关于这是否属于组织的隐私政策或地方法规的问题尚无定论:这构成了提供者对其学生/学生的谨慎义务的失职。
但另一方面这对我来说似乎很疯狂,我唯一能证明我对某个要求问的人(例如,准雇主)有多少学位是向他们展示一点纸(相对容易伪造)。但我想大多数阅读此书的人都将能够想到简单有效的解决方案来安全地泄露此类信息。
评论
IME公司只需致电学校以确认毕业。我只记得有一个海外工作,要依法索取笔录。从来没有在美国。
– Deek
17年5月5日在6:50
#6 楼
个人而言,我最担心的是系统会显示学生的注册ID。我不知道您所在大学的情况如何,但是在我还是学生的时候,我们在考试答题纸上写了RI,这样,评分者就不会知道谁是谁。 br />
在您的大学里,分级员可以查询谁是谁,我认为这是严重的安全漏洞。
评论
教师可以在我工作过的任何大学中随时查询注册ID,而且我相信其他任何地方都可以。成绩如何与合适的学生联系在一起?关键是,在评分时,他们不知道数字对应于谁,以减少无意识的偏见。
–尼克·马特奥(Nick Matteo)
17年1月6日,18:52
#7 楼
如果有关学生成绩的信息可以个人识别个人,则几乎可以肯定这是一个问题。另一方面,如果您看到的只是与某个未知个人相关的等级,即与某个数字相关的等级,,但您无法确切确定该数字代表的人,那么它可能不是
被认为是安全问题,因为可以说数据已经被匿名化了。很大程度上取决于有效的隐私法规(很可能是
英国法规,但这可能会受到托管/放置数据的国家和机构的隐私政策的影响。例如,
可能会要求学生同意将其结果数据公开为入学条款和条件的一部分,但这是不太可能的。
大多数国家/地区都有隐私立法,该立法确定了什么被视为
私人或个人信息,并且在某些情况下,在托管组织必须获得何种许可级别方面对其施加了额外的
责任。从个人公开数据以及
应采取的措施,如果由于某种安全性故障而意外地披露或破坏了数据,例如在美国,如果一家公司拥有
发生故意或意外泄露个人数据的情况
可能的财务影响,例如暴露信用卡信息,要求组织在一段时间内为受影响的个人提供信用监控服务。一些国家/地区还具有强制性的
数据泄露报告和通知法规,该法规要求
组织在数据受到损害时通知个人,通常是中央主管部门。
不幸的是,各国政府一直努力发展清晰一致的
有关隐私的法律,并维护能够与技术保持同步的法律。各国之间的差异很大,重点和目标也不同。例如,美国在隐私和强制性报告方面有相当多的
政策,但在国土安全和反恐方面也有一些
立法,有些人认为这会损害个人数据的隐私。德国和其他许多欧洲国家/地区都制定了强有力的法律来保护个人隐私。澳大利亚
有相对较新的个人隐私法规,但正在努力引入强制性数据泄露报告法规等。
从您的描述中,我怀疑您确实发现了数据访问
漏洞,您几乎应该肯定要向大学报告。不幸的是,要找到如何报告此类问题并非总是容易的。首先要检查的是组织的隐私政策
。英国也可能拥有中央机构,例如隐私调查官,您也可以将此问题报告给。
您还应该注意,需要谨慎行事。有关访问此数据的信息,尤其是使用您描述的URL操作技术或提供有关如何访问数据的特定细节。在某些国家/地区,可能会
辩称您违反了法律,并可能被指控“黑客”。技术变革的步伐加上对立法和司法系统缺乏了解
,导致对该立法的起草不完善的
立法和法律解释。
有很多人因发布数据访问漏洞而被指控
。尽管此类指控通常不会导致定罪,但
最好避免这种充电带来的潜在麻烦。
#8 楼
确实。特别是如果大学同意将此类信息保密,这可能会严重违反他们自己的政策。#9 楼
在美国,仅编写一个简单的脚本来抓取此类信息就可以使您服刑3.5年。如果大学不打算将此信息公开,则将被视为漏洞。评论
+1这就是我在想的答案。有时,仅访问“受保护”系统即可查看任何人的私有数据,无论安全性多么低下,总是存在黑客将被罚款,入狱或两者兼有的风险。
– phyrfox
17年1月8日在23:00
评论
如果该大学位于英国,则可能违反了《数据保护法》,并且如果大学未立即对其进行修订,则可以将其报告给信息专员办公室,该办公室可以决定采取进一步行动。您可以考虑匿名举报。
如果我正确理解您的意思是说您的大学有一个页面,给定学生的入学人数,他们会在其中提供您的姓名和邮政地址(或电子邮件地址?),以及考试的成绩?
@Josh是的,我真的很担心如何举报,我认为匿名举报会更好。谢谢。
@GhulamAli只要你们仍然在欧盟,那就是您所在大学面临的一个非常严重的问题。根据欧盟法律,这显然是非法的。