如果公开大学生的地址，是否存在安全漏洞？

#1 楼

很抱歉，我对此事缺乏知识。


你不应该。正如大学在评论中指出的那样，这是否取决于大学的做法来公开学生的姓名和地址？



这取决于您当地的法律法规。您当然应该检查一次。但是，您描述应用程序的方式（更改URL以获取详细信息（包括结果）），听起来像是个bug，应该报告。


它是否被普遍认可？对于那些与姓名和地址相关的强安全性并不重要的大学？


否，无论是大学，大型跨国公司或小型企业，还是您自己的个人帐户，安全总是重要。


这是一次严重的攻击，我是否必须向他们报告？还是可以简单地忽略它？


是的，您必须尽快将其报告给大学。

编辑：正如评论中指出的那样，有些大学确实允许公开学生的地址。

#2 楼

这是一个漏洞，他们使用顺序可猜测数字来访问记录的方式是一类称为不安全直接对象引用的漏洞，并且在OWASP Top 10（https://www.owasp.org/index.php/Top_10_2013 -A4-Insecure_Direct_Object_References）

根据您所居住的世界的不同，大学可能会违反数据保护法。至少，这是糟糕的数据控制并侵犯了您的个人隐私，您一定应该告诉他们。

#3 楼

由于大学位于英国，因此几乎可以肯定这违反了1998年DPA。也就是说，这并不是狭义的“安全性”问题。

学生的家庭住址肯定会算作“个人”数据”）。我敢肯定，您可以通过这种方式检索数据的事实违反了原则7，也可能违反了原则6和8）。原则是必须对个人数据进行


公正合法的处理；
出于有限的目的进行处理；
充分，相关且不过度；
准确;
保留的时间不应超过必要的时间;
根据用户权利进行处理;
安全;并且
没有随EEA转移。

您必须非常谨慎地破解才能获取信息这一事实并不会改变事情：这意味着它并不安全。原则7，完全是“应采取防止个人数据的未授权或非法处理和防止意外丢失或破坏，或损坏，个人数据适当的技术和组织措施。”

最后学位分类将被视为公共数据，在某种意义上，您与大学签订的合同的一部分是他们会告诉人们您已经毕业。内部/中间标记可能不会算作公开数据（“可能”意味着必须肯定地说，它们确实可以算作公开，然后才能像这样公开使用）。

该大学应该有一个DPA办公室/官员，当您向他们报告时（我认为应该），他们会进行弹道训练，并且应该能够施加很高的压力来进行更改。他们似乎对您的报告没有什么大惊小怪的，但我希望他们会在内部立即采取行动。如果他们没有及时修复（或者即使您没有立即看到他们这样做的证据），那么@daiscog的评论建议向ICO提交报告也是适当的。

关于匿名举报的问题，可以根据需要进行，但我希望这无关紧要，并且DP办公室会适当谨慎（这很大程度上是他们的问题，而不是您的问题）。如果有任何卷土重来的事情，我相信ICO将对此非常感兴趣。

我实际上是我们（英国）大学系的DP总监，而且我知道我如何否则大学DP办公室将对此消息做出回应。

（我最初将其发布为评论，但经过反思，将其扩展为答案）

#4 楼

这可能是设计使然，而不是认为是敏感信息的泄漏。如果要在线查看目录，那么MIT，CMU，斯坦福大学和其他任何我都认为公开列出的学生和教职员目录。

美国的大学通常更关注FERPA，保护学生的教育记录。

默认情况下，“目录信息”（例如名称，地址，注册状态和日期）不受保护。这是一份合格的目录信息清单，可以向公众公开。相关规定如下：除非学生特别要求保留目录信息，否则学生的目录信息可能会发布给大学以外的查询者。


如果我是你，在联系大学之前，我会先看看隐私政策。这可能是故意的。您的大学可能有一个选择退出条款来保护您的目录信息。

此外，大多数网站的目录都位于禁止爬网列表中，因此您的记录不在搜索引擎上在线。您不妨查看robots.txt。

话说，永远不要透露成绩。在实践中，在极少数的FERPA案例中，成绩是指字母/成绩成绩，而不是有时被视为“讲师笔记”的个别课堂成绩。

#5 楼

尽管已经接受了一个答案并且Priyank和Iain都提出了一些好的观点，但我认为值得深入研究这是否是敏感数据的问题。

首先，有一些考试结果（通常是学生在学习过程中会参加许多考试）与资格（即该机构的最终奖项）之间的差异。因此，也有可能推断出某个人当前是否是学生。

此信息为各种针对性的网络钓鱼打开了大门-假装自己是学生贷款提供商，提供再融资或假装自己的学生。官方校友组织。

它也是身份欺诈的重要资产。尽管我从来没有遇到过关于高等教育的“两个问题”的问题（“我们的第一所学校”似乎仍然很普遍），但这样的设施将促进欺诈性的工作/信用申请。

因此，关于这是否属于组织的隐私政策或地方法规的问题尚无定论：这构成了提供者对其学生/学生的谨慎义务的失职。

但另一方面这对我来说似乎很疯狂，我唯一能证明我对某个要求问的人（例如，准雇主）有多少学位是向他们展示一点纸（相对容易伪造）。但我想大多数阅读此书的人都将能够想到简单有效的解决方案来安全地泄露此类信息。

#6 楼

个人而言，我最担心的是系统会显示学生的注册ID。

我不知道您所在大学的情况如何，但是在我还是学生的时候，我们在考试答题纸上写了RI，这样，评分者就不会知道谁是谁。 br />
在您的大学里，分级员可以查询谁是谁，我认为这是严重的安全漏洞。

#7 楼

如果有关学生成绩的信息可以个人识别个人，则几乎可以肯定这是一个问题。另一方面，如果您看到的只是与某个未知个人相关的等级，即与某个数字相关的等级，
，但您无法确切确定该数字代表的人，那么它可能不是
被认为是安全问题，因为可以说数据已经被匿名化了。很大程度上取决于有效的隐私法规（很可能是
英国法规，但这可能会受到托管/放置数据的国家和机构的隐私政策的影响。例如，
可能会要求学生同意将其结果数据公开为入学条款和条件的一部分，但这是不太可能的。

大多数国家/地区都有隐私立法，该立法确定了什么被视为
私人或个人信息，并且在某些情况下，在托管组织必须获得何种许可级别方面对其施加了额外的
责任。从个人公开数据以及
应采取的措施，如果由于某种安全性故障而意外地披露或破坏了数据，例如在美国，如果一家公司拥有
发生故意或意外泄露个人数据的情况
可能的财务影响，例如暴露信用卡信息，要求组织在一段时间内为受影响的个人提供信用监控服务。一些国家/地区还具有强制性的
数据泄露报告和通知法规，该法规要求
组织在数据受到损害时通知个人，通常是中央主管部门。

不幸的是，各国政府一直努力发展清晰一致的
有关隐私的法律，并维护能够与技术保持同步的法律。各国之间的差异很大，重点和目标也不同。例如，美国在隐私和强制性报告方面有相当多的
政策，但在国土安全和反恐方面也有一些
立法，有些人认为这会损害个人数据的隐私。德国和其他许多欧洲国家/地区都制定了强有力的法律来保护个人隐私。澳大利亚
有相对较新的个人隐私法规，但正在努力引入强制性数据泄露报告法规等。

从您的描述中，我怀疑您确实发现了数据访问
漏洞，您几乎应该肯定要向大学报告。不幸的是，要找到如何报告此类问题并非总是容易的。首先要检查的是组织的隐私政策
。英国也可能拥有中央机构，例如隐私调查官，您也可以将此问题报告给。

您还应该注意，需要谨慎行事。有关访问此数据的信息，尤其是使用您描述的URL操作技术或提供有关如何访问数据的特定细节。在某些国家/地区，可能会
辩称您违反了法律，并可能被指控“黑客”。技术变革的步伐加上对立法和司法系统缺乏了解
，导致对该立法的起草不完善的
立法和法律解释。
有很多人因发布数据访问漏洞而被指控
。尽管此类指控通常不会导致定罪，但
最好避免这种充电带来的潜在麻烦。

#8 楼

确实。特别是如果大学同意将此类信息保密，这可能会严重违反他们自己的政策。

#9 楼

在美国，仅编写一个简单的脚本来抓取此类信息就可以使您服刑3.5年。如果大学不打算将此信息公开，则将被视为漏洞。