Frage:
Handelt es sich um eine Sicherheitslücke, wenn die Adressen von Studenten offengelegt werden?
Ghulam Ali
2017-01-04 16:39:24 UTC
view on stackexchange narkive permalink

Es tut mir leid, dass ich diesbezüglich keine Kenntnisse habe.

Meine Universität (im Grunde eine internationale Universität in Großbritannien mit Studenten aus verschiedenen Ländern) verfügt über eine Website, auf der sich die Studenten anmelden müssen, bevor sie sich anmelden können können auf ihre Prüfungsergebnisse zugreifen. Zu diesen Ergebnissen gehören auch Name und Adresse.

Bei der Überprüfung der Netzwerktransaktion stellte ich jedoch fest, dass eine Seite aufgerufen wurde, auf der die Registrierungsnummer des Schülers direkt in der URL angegeben ist und das zugehörige Prüfungsergebnis angezeigt wird. Auf diese Seite kann zugegriffen werden, ohne sich in das Studentenkonto einzuloggen, und ohne Probleme gab sie mir das Prüfungsergebnis, das den Namen und die Adresse des Studenten enthüllte. Ich habe mehrere Registrierungsnummern ausprobiert, die meinen ähnlich waren, und alle waren einfach zu verarbeiten.

Ein weiteres Problem besteht darin, dass diese Registrierungsnummern eine feste Länge haben, nur Nummern enthalten und in aufsteigender Reihenfolge sind. Wenn beispielsweise eine gültige Registrierungsnummer 000001 lautet, lautet die nächste 000002 usw.

Meiner Meinung nach kann ein Angreifer auf einfache Weise ein automatisiertes Programm erstellen, das diese Registrierungsnummern zufällig oder in generiert Bestellen und erhalten Sie die Namen und Adressen von Hunderten von Studenten.

Meine Fragen sind:

  1. Ist es allgemein anerkannt, dass Universitäten die Namen und Adressen von Studenten offenlegen?
  2. Ist es eine allgemein anerkannte Praxis für Universitäten, dass eine starke Sicherheit in Bezug auf Name und Adresse nicht wichtig ist?
  3. Handelt es sich um einen schweren Angriff und muss ich ihn ihnen melden? Oder kann es einfach ignoriert werden?
    4. ol>

    Update:

    Ich habe die Antwort von der Universität erhalten und sie wurde jetzt behoben. Vielen Dank an Sie alle.

Wenn sich die Universität in Großbritannien befindet, kann dies einen Verstoß gegen das Datenschutzgesetz darstellen. Wenn dies nicht sofort von der Universität behoben wird, kann dies dem [Information Commissioner's Office] (https://ico.org.uk) gemeldet werden/ Bedenken / Umgang /), die möglicherweise weitere Maßnahmen ergreifen.
Wo ist diese Universität?Sind die Noten auch öffentlich zugänglich?
Sie können dies anonym melden.
Wenn ich richtig verstanden habe, sagen Sie, dass Ihre Universität eine Seite hat, auf der Sie unter Angabe der Immatrikulationsnummer eines Studenten Namen und Postanschrift (oder E-Mail-Adresse?) Und möglicherweise die Note einer Prüfung angeben?
@daiscog Die Universität hat ihren Sitz in Großbritannien.
@Josh Ja, ich mache mir wirklich Sorgen darüber, wie ich es melden soll. Ich denke, anonym zu berichten wäre viel besser.Vielen Dank.
@daiscog danke für den Link, ich werde mich darum kümmern.
@Bakuriu, ja völlig richtig.Wenn Sie es anzeigen, fragen Sie zuerst nach dem Benutzernamen und dem Kennwort des Schülers, bevor er den Bericht ausgibt. Wenn wir die Sicherheitsanfälligkeit verwenden, können wir diese Anmeldung umgehen und den Bericht anzeigen, ohne uns anzumelden.
@GhulamAli Solange ihr noch in der EU seid, ist das ein sehr ernstes Problem, das eure Universität dort hat.Nach EU-Recht ist dies eindeutig illegal.
Wenn Sie nicht Schritte unternommen haben, um Ihre IP-Adresse während der ursprünglichen Zugriffe zu verbergen, können Sie sie nicht vollständig anonym melden.
@daiscog's Kommentar ist wirklich die beste Antwort, denke ich.Da sich die Universität in Großbritannien befindet, ist dies mit ziemlicher Sicherheit ein Verstoß gegen die Datenschutzbehörde (Verstoß gegen Prinzip 7 und wahrscheinlich auch gegen 6 und 8).Die Universität sollte ein DPA-Büro / einen DPA-Beauftragten haben, der / die ballistisch wird, wenn Sie dies melden (und ich denke, Sie sollten es tun), und in der Lage sein sollte, sehr hohen Druck auszuüben, um dies zu ändern.Wenn sie es nicht sofort beheben, wäre ein Bericht an das ICO, wie vorgeschlagen, angemessen.
Die im Titel gestellte Frage "Ist es eine Sicherheitslücke, wenn ..." hat selbst in einem so eindeutigen Szenario eine grundsätzlich zweideutige Antwort.Der Ausdruck "Sicherheitslücke" kann definiert werden als "etwas Überraschendes, das Sie mit einem von Ihnen kontrollierten System tun können", und obwohl dieser Fall in dem Sinne halb objektiv ist, dass "nun, es würde sicherlich die staatlichen Regulierungsbehörden überraschen, die vermutlich ein Steil herausgeben würdenfein!"es hat immer noch viele dieser Merkmale der Subjektivität.
Möchten Sie, dass Ihre Adresse und Ihr Name durchgesickert sind?
Ich danke Ihnen, dass der Zugriff auf diese Seiten über andere Studenten als Sie selbst, obwohl Sie verstanden haben, dass die Universität beabsichtigt, sie privat zu halten, ein Verbrechen gemäß [Abschnitt 1 des Gesetzes über Computermissbrauch] (http://www.legislation.gov) wäre.uk / ukpga / 1990/18 / section / 1)
"durch Überprüfen der Netzwerktransaktion" - bedeutet dies auch, dass die Verbindung nicht mit einem SSL-Zertifikat geschützt ist?
Wenn die Adressen der Studenten nur Postfächer bei der Post auf dem Campus sind, wäre dies weniger ungeheuerlich - aber immer noch schlecht.
@w3d Die Verbindung war https, aber die Website verwendete Ajax. Ich schaute in die HTML-Quelle und fand den eindeutigen Link, den sie verwendete.
@emory Nein, es sind keine Briefkästen auf dem Campus.Es ist ihre persönliche Adresse.
Normalerweise ist alles, was mit dem Wort "ausgesetzt" zusammenhängt, schlecht.
Wenn / wenn Sie es melden, würde ich vorschlagen, die Tatsache hervorzuheben, dass Sie die Noten anderer Schüler sehen können.Das ist eher ein Verstoß als die Veröffentlichung ihrer Adressen.Zweimal berichtete ich über ähnliche Probleme wie an meinem vorherigen College, und das Problem wurde immer gut aufgenommen und schnell behoben, sobald es bei der richtigen Person ankam.
@GhulamAli Haben Sie aus Neugier die Gelegenheit bekommen, dies zu melden?Wenn ja, wurden von Seiten des Administrators Maßnahmen ergriffen?
@PriyankGupta Ja, ich habe es vor 4 Tagen gemeldet.Noch keine Antwort.Die automatische Antwort auf diese E-Mail-Adresse besagt jedoch, dass sie innerhalb von 5 Tagen antworten wird.
Als ich die Antwort erhielt, teilte mir die Person mit, dass sie meine E-Mail an die zuständige Abteilung weitergeleitet hat, wo das Problem besprochen wird, und sie werden sich bei Bedarf mit mir in Verbindung setzen.Ich werde aktualisieren, wenn ich weitere Nachrichten erhalte.
Neun antworten:
pri
2017-01-04 16:53:41 UTC
view on stackexchange narkive permalink

Es tut mir leid, dass ich diesbezüglich keine Kenntnisse habe.

Das sollten Sie nicht.

Ist es eine allgemein anerkannte Praxis? Damit Universitäten den Namen und die Adresse von Studenten offenlegen können?

Wie in den Kommentaren erwähnt, hängt dies von Ihren örtlichen Gesetzen und Vorschriften ab. Sie sollten es auf jeden Fall einmal überprüfen. Die Art und Weise, wie Sie die Anwendung beschreiben (Ändern der URL, um die Details einschließlich des Ergebnisses zu erhalten), klingt jedoch wie ein Fehler, der auf jeden Fall gemeldet werden sollte.

Ist dies eine allgemein anerkannte Praxis für Universitäten? Ist eine starke Sicherheit in Bezug auf Name und Adresse nicht wichtig?

Nein, sei es eine Universität oder ein großes multinationales Unternehmen oder ein kleines Unternehmen oder Ihr persönliches Konto, Sicherheit ist IMMER wichtig.

Handelt es sich um einen schweren Angriff und muss ich ihn ihnen melden? Oder kann es einfach ignoriert werden?

Ja, Sie müssen es so schnell wie möglich der Universität melden. Es sollte nicht ignoriert werden.

BEARBEITEN: Wie in den Kommentaren erwähnt, gibt es einige Universitäten, an denen die Adressen von Studenten veröffentlicht werden können.

Beachten Sie, dass dies je nach Standort der Universität eine * enorme * rechtliche / finanzielle Haftung sein kann ...
@JaredSmith Oder es kann völlig ignoriert werden, wie der Fall, in dem Troy Hunt über eine Website berichtet, die Gesundheitsinformationen in Indien veröffentlicht.durch Gesundheit exponierte Lösungen /
Wie ich in meiner Antwort [unten] (http://security.stackexchange.com/a/147245/111626) ausführe, ist diese Antwort wahrscheinlich ungenau.Universitäten in den meisten Five Eyes-Ländern geben "Verzeichnisinformationen" öffentlich bekannt, mit der Möglichkeit eines Opt-out.
@Jedi: OP sagt, dass er auch auf Ergebnisse zugreifen kann, während der von Ihnen geteilte Link darauf hinweist, dass GPA / Noten nicht veröffentlicht werden sollten.Persönlich möchte ich nicht einmal meine ständige Adresse mit der Außenwelt teilen.Wenn es eine solche Einrichtung der Universität gibt, um die Details der Studenten preiszugeben, sollte dies auf elegante Weise geschehen.Die Art und Weise, wie OP die Situation beschreibt (Registrierungsnummer in der URL), klingt wie ein Fehler auf der Website.
@PriyankGupta genau.Die Universitäten teilen die Informationen der FERPA-Klasse in zwei Kategorien ein: "Verzeichnis" und "Privat".Noten, DoB ist privat, Kontaktinformationen und Adresse nicht."Nein, die Offenlegung der Namen und Adressen stellt eine schwerwiegende Verletzung der Privatsphäre dar." Diese Aussage ist daher ungenau.Das Offenlegen von Namen und Adressen ist gemäß den Datenschutzbestimmungen von US / UK / etc.Universitäten.Dies bedeutet nicht, dass die Sicherheit oder der Datenschutz Ihrer persönlichen Daten nicht wichtig ist.OP sollte die relevanten Gesetze überprüfen, die für sein Land gelten.Die positiven Stimmen zu dieser Antwort würden bedeuten, dass Stanford, MIT, CMU falsch sind?
@Jedi: Nachdem ich ein Beispiel für Virginia Tech habe, habe ich die Antwort bearbeitet.Vielen Dank für Ihre Beiträge!:) :)
@PriyankGupta nicht argumentativ zu sein, aber die Antwort ist immer noch ungenau.Es ist nicht die Universität, die entscheidet.Das einschlägige Gesetz, d. H. FERPA in den USA, schreibt vor, dass "die Verzeichnisinformationen eines Studenten an einen Fragesteller weitergegeben werden können ..." und die Studenten sich individuell abmelden müssen.Universitäten könnten / sollten datenschutzrelevanter sein und es einfacher machen, sich abzumelden, aber es als schweren Angriff zu bezeichnen, ohne die Fakten zu kennen, ist ein schnelles Urteil.OP sollte zuerst die relevanten Gesetze und deren Anwendung überprüfen und [bei Bedarf ein Formular ausfüllen] (https://www.cmu.edu/hub/ferpa.html).
@PriyankGupta: An der Universität von Cambridge sind Noten öffentliche Informationen (sie werden an den Wänden des Senatshauses veröffentlicht).OTOH, wenn dies eine britische Universität ist, wird der ICO deutlich unbeeindruckt sein.
@Jedu An einem College, an dem ich in den USA gearbeitet habe, wäre das ein ** riesiger ** Deal.Wir hatten einen Studenten, der von einem missbräuchlichen Ex ermordet wurde, weil ihm jemand Informationen über sie gab, die sie nicht haben sollten.Vielleicht verstößt es in 99,999% der Fälle nicht gegen Gesetze, aber dieser eine Student, der sich abgemeldet hat, hatte möglicherweise sehr gute Gründe.
@JaredSmith Die meisten Organisationen haben eine Klausel im Vertrag / AGB / usw., die im Grunde besagt, dass Sie ihnen die Erlaubnis geben, mit Ihren Informationen zu tun, was sie wollen, um zu verhindern, dass sie bei solchen Störungen haftbar gemacht werden.
@Aequitas, der diese Vertragsklausel gesagt hat und sie * tatsächlich * vor Gericht hat, sind zwei verschiedene Dinge.Außerdem leben und sterben Universitäten durch Rekrutierung, die auf der öffentlichen Wahrnehmung basiert.Keine Schule würde einen solchen PR-Hit wollen.
@Kat V, Die ursprüngliche Antwort wurde mit einem breiten Pinsel gemalt und war daher ungenau.Ich habe keine Streitigkeiten mit der Antwort, wie sie steht.Es ist gut zu hören, dass eine Universität proaktive Maßnahmen zur Verbesserung der Privatsphäre ergreift.Unterstützen sie ihre Handlungen jedoch mit einer schriftlichen Richtlinie, die dies den Schülern garantiert?Die öffentliche Wahrnehmung wird überbewertet.
Obwohl viele Universitäten ein öffentliches Verzeichnis betreiben, gibt es häufig eine Möglichkeit, sich abzumelden oder Informationen nicht öffentlich zu machen, gerade aufgrund von Situationen wie der erwähnten @Kat.Es ist natürlich möglich, dass die Informationen hier genau die gleichen sind wie die, die in einem öffentlich zugänglichen Verzeichnis veröffentlicht wurden. Dies sollte jedoch im Rahmen der Ermittlung des Schweregrads dieser Sicherheitsanfälligkeit untersucht werden.
@MartinBonner großer Unterschied zwischen dem Veröffentlichen an einer Wand irgendwo und dem Online-Zugriff über einen möglichen unbeabsichtigten Website-Fehler.
Das grundlegende Problem besteht darin, die Erwartung der Privatsphäre zu verletzen.Wenn die Schüler erwarten, dass die Schule ihre Adresse veröffentlicht, wenn sie der Schule diese Informationen geben, gibt es kein Problem.Wenn sie es nicht tun und die Schule sie bloßstellen lässt, ist das ein ernstes Problem.Die örtlichen Gesetze legen nur fest, in welchen Schwierigkeiten sich die Schule befindet. Auch wenn sie nicht angewendet wurden, gibt es hier einen moralischen Imperativ.
Wenn das College beschließt, die Informationen standardmäßig zu veröffentlichen, sollten sie dies bei der Aufnahme der Studenten ausdrücklich erwähnen, damit die Studenten keinen falschen Eindruck haben.
iainpb
2017-01-04 19:16:04 UTC
view on stackexchange narkive permalink

Dies ist eine Sicherheitsanfälligkeit. Die Art und Weise, wie sie sequenzierte erratene Zahlen für den Zugriff auf Datensätze verwendet haben, ist eine Sicherheitsanfälligkeitsklasse namens Insecure Direct Object Reference, die in den OWASP Top 10 ( https://www.owasp.org) aufgeführt ist /index.php/Top_10_2013-A4-Insecure_Direct_Object_References)

Je nachdem, wo auf der Welt Sie leben, verstößt die Universität möglicherweise gegen Datenschutzgesetze. Zumindest ist es eine schlechte Datenkontrolle und verletzt Ihre Privatsphäre, Sie sollten ihnen dies unbedingt mitteilen.

Norman Gray
2017-01-05 22:06:20 UTC
view on stackexchange narkive permalink

Da sich die Universität in Großbritannien befindet, ist dies mit ziemlicher Sicherheit ein Verstoß gegen die DPA 1998. Das heißt, dies ist nicht nur ein Sicherheitsproblem.

Eine Studentenadresse würde im Sinne des Gesetzes sicherlich als „personenbezogene Daten“ gelten. Die Tatsache, dass Sie die Daten auf diese Weise abrufen können, ist sicher ein Verstoß gegen Prinzip 7 und wahrscheinlich auch gegen 6 und 8. Die Grundsätze lauten, dass personenbezogene Daten

  1. fair und rechtmäßig verarbeitet werden müssen;
  2. für begrenzte Zwecke verarbeitet werden müssen;
  3. angemessen , relevant und nicht übermäßig;
  4. genau;
  5. nicht länger als nötig aufbewahrt;
  6. gemäß den Rechten der Benutzer verarbeitet;
  7. nicht außerhalb des EWR übertragen.
    8. ol>

    Die Tatsache, dass Sie dies sehr leicht hacken mussten, um die Informationen zu erhalten, ändert sich nicht Dinge: Es bedeutet, dass es nicht sicher ist. Grundsatz 7 lautet in vollem Umfang: „Es sind geeignete technische und organisatorische Maßnahmen gegen die unbefugte oder rechtswidrige Verarbeitung personenbezogener Daten sowie gegen den versehentlichen Verlust oder die Zerstörung oder Beschädigung personenbezogener Daten zu treffen.“

    Abschluss Die Klassifizierung würde als öffentliche Daten gelten, in dem Sinne, dass ein Teil Ihres Vertrags mit der Universität darin besteht, dass sie den Leuten mitteilen, dass Sie Ihren Abschluss gemacht haben. Interne / Zwischenmarken würden wahrscheinlich nicht als öffentliche Daten gelten (und das „wahrscheinlich“ bedeutet, dass es ein positives Argument dafür geben müsste, dass sie als öffentlich gelten, bevor es in Ordnung ist, sie so verfügbar zu machen).

    Die Universität sollte ein DPA-Büro / einen DPA-Beauftragten haben, der ballistisch wird, wenn Sie dies ihnen melden (und ich denke, Sie sollten es tun), und in der Lage sein sollte, sehr hohen Druck auszuüben, um dies zu ändern. Sie scheinen als Antwort auf Ihren Bericht nicht viel Aufhebens zu machen, aber ich hoffe, sie werden intern sofort Maßnahmen ergreifen. Wenn sie das Problem nicht sofort beheben (oder wenn Sie keine unmittelbaren Beweise dafür sehen), erstellen Sie, wie vorgeschlagen, einen Bericht an das ICO Der Kommentar von @ daiscog wäre richtig.

    In Bezug auf die Frage der Anonymisierung könnten Sie, wenn Sie möchten, aber ich würde hoffen, dass es keine Rolle spielt und dass das DP-Büro angemessen diskret ist ( das ist sehr ihr Problem, nicht deins). Wenn es ein Comeback geben würde, wäre das ICO sicher extrem interessiert, davon zu hören.

    Ich bin praktisch der DP-Beauftragte in unserer (britischen) Universitätsabteilung und ich weiß, wie ich oder das DP-Büro der Universität darauf reagieren würden.

    (Ich habe dies ursprünglich als Kommentar gepostet, aber nach Überlegung zu einer Antwort erweitert)

Jedi
2017-01-04 20:28:35 UTC
view on stackexchange narkive permalink

Es ist möglich, dass dies beabsichtigt ist und nicht als Verlust sensibler Informationen angesehen wird. Wenn Sie sich Verzeichnisse online ansehen, MIT, CMU, Stanford und alle anderen, denke ich an alle öffentlichen Listen von Studenten- und Mitarbeiterverzeichnissen.

Universitäten in den USA sind im Allgemeinen mehr besorgt über FERPA, das die Aufzeichnungen über die Ausbildung von Studenten schützt.

"Verzeichnisinformationen" wie Name, Adresse, Registrierungsstatus und Datum sind standardmäßig nicht geschützt. Hier finden Sie eine gute Liste der Informationen, die als Verzeichnisinformationen gelten und der Öffentlichkeit zugänglich gemacht werden können. Die entsprechende Bestimmung lautet:

Die Verzeichnisinformationen eines Studenten können an einen Fragesteller außerhalb der Universität weitergegeben werden, es sei denn, der Student fordert ausdrücklich an, dass Verzeichnisinformationen zurückgehalten werden.

Wenn ich Sie wäre, würde ich mich nach einer Datenschutzrichtlinie umsehen, bevor ich mich an die Universität wende. Es ist wahrscheinlich beabsichtigt. Ihre Universität hat wahrscheinlich eine Opt-out-Klausel zum Schutz Ihrer Verzeichnisinformationen.

Außerdem haben die meisten Websites ihre Verzeichnisse in Nicht-Crawler-Listen, sodass Ihre Datensätze in Suchmaschinen nicht online sind. Möglicherweise möchten Sie die robots.txt überprüfen.

Allerdings sollten Noten niemals offengelegt werden. In der Praxis beziehen sich Noten in einem seltenen FERPA-Fall auf Brief- / Transkriptnoten und nicht auf einzelne Noten im Klassenzimmer, die manchmal als "Notizen für Dozenten" angesehen werden.

Auf keiner der von Ihnen verlinkten Universitätsseiten werden die Adressen von Studenten oder Mitarbeitern angezeigt.Sie zeigen nur Schülernamen, Campus-IDs und Schul-E-Mails an.
Um @Jedi, zu unterstützen, kann ich bestätigen, dass Virginia Tech mit Sicherheit Studentenadressen von allen anzeigt, die sich nicht abmelden.search.vt.edu/people.jsp
@Yay295: sucht in Stanfords Verzeichnis nach Aiken [gibt mir alle seine Informationen] (https://stanfordwho.stanford.edu/SWApp/detailAction.do?key=DS036G974&search=aiken&soundex=&stanfordonly=&affilfilter=everyone&filters=c)Link bleibt bestehen).Meine Universität enthüllt meine Daten und ich habe mich mit ihnen in Verbindung gesetzt, um mehr über die relevanten FERPA-Abschnitte zu erfahren.
@Jedi,, das scheint die Ausnahme zu sein, nicht die Regel.Ich habe 100 zufällige Ergebnisse überprüft und nur 4 von ihnen zeigten ihre Privatadresse.Wenn Sie sich abmelden müssten, um diese Informationen zu verbergen, hätte ich erwartet, dass sie höher sind. Daher ist es wahrscheinlich, dass diese Personen sich speziell dafür entschieden haben, ihre Privatadresse freizugeben.
Bis 2014 hat das MIT all diese Informationen in seinem Verzeichnis https://thetech.com/2014/07/09/mitpeople-v134-n29 angezeigt
@Yay295 Die Arbeitsweise an meiner Universität (für Privatadressen / Telefonnummern) besteht darin, dass Sie ein Formular ausfüllen, das die Informationen für die Universität enthält, was Sie normalerweise als Fakultät, Mitarbeiter oder bezahlter Lehr- / Forschungsassistent tun.Mein Punkt ist nicht, dass das Anzeigen von Adressinformationen weit verbreitet / üblich ist, sondern dass es rechtmäßig ist.Ich zitiere die relevanten Teile von FERPA, die anwendbar sind.
robots.txt ist keine Sicherheitsmaßnahme (insbesondere wenn dort steht "Lieber Google, bitte schauen Sie nicht auf die Supersecretpage", dies kann Angreifern eher helfen, sie zu finden).
@HagenvonEitzen guter Punkt.In diesem Fall wird es bestimmungsgemäß verwendet.Es soll verhindern, dass Kontaktinformationen von "netten" Crawlern indiziert werden, damit sie beispielsweise nicht in einer Google-Suche auftauchen.
Obwohl OP nur explizit nach Verzeichnisinformationen gefragt hat, sollten Sie meiner Meinung nach mehr Gewicht auf Ihren letzten Absatz legen: Durch die Verknüpfung anderer Informationen mit den Verzeichnisinformationen wird dies zu einem großen Problem, das angegangen werden sollte!
Diese Antwort ist falsch.Das OP befindet sich in Großbritannien und daher gelten die Gesetze des Vereinigten Königreichs, des EWR und der EU.Personenbezogene Daten sind alle Daten oder Datenkombinationen, die zur Identifizierung und Individualisierung verwendet werden können, wobei Name und Adresse mit Sicherheit zutreffen.Diese Daten sollten niemals veröffentlicht worden sein.
@Ben, Ich habe die Standortaktualisierung von OP verpasst.Ich werde die Antwort entsprechend aktualisieren, um anzuzeigen, dass sie nur für die USA gilt.
symcbean
2017-01-04 23:06:48 UTC
view on stackexchange narkive permalink

Obwohl eine Antwort akzeptiert wurde und sowohl Priyank als auch Iain einige gute Punkte ansprechen, lohnt es sich meiner Meinung nach, die Frage zu untersuchen, ob es sich um vertrauliche Daten handelt.

Zunächst einmal gibt es etwas Unterschied zwischen Prüfungsergebnissen (normalerweise hat ein Student während seines Studiums viele Prüfungen) und Qualifikationen (dh der endgültigen Auszeichnung durch die Institution). So kann auch gefolgert werden, ob eine Person derzeit Student ist.

Diese Informationen öffnen die Tür für alle Arten von gezieltem Phishing - Personen, die sich als Studentendarlehensgeber ausgeben, eine Refinanzierung anbieten oder sich als offiziell ausgeben Alumni-Organisationen.

Es ist auch ein großer Vorteil für Identitätsbetrug. Obwohl ich noch nie auf eine Wunsch-es-war-zwei-Faktor -Frage zur Hochschulbildung gestoßen bin ("Was war unsere erste Schule?" Scheint immer noch üblich zu sein), würde eine solche Einrichtung betrügerische Job- / Kreditanträge erleichtern

Daher ist die Frage, ob dies unter die Datenschutzrichtlinie des Unternehmens oder die örtlichen Vorschriften fällt, umstritten: Sie stellt eine Verletzung der Sorgfaltspflicht des Anbieters gegenüber seinen Studenten / Absolventen dar.

Aber die Kehrseite davon ist, dass es mir verrückt erscheint, dass ich jemandem, der fragt (z. B. einem potenziellen Arbeitgeber), nur beweisen kann, welchen Abschluss ich habe, indem ich ihm ein Stück Papier zeige (relativ leicht zu fälschen). Ich stelle mir jedoch vor, dass die meisten Leser einfache und effektive Lösungen für die sichere Offenlegung solcher Informationen finden könnten.

IME-Unternehmen rufen einfach die Schule an, um den Abschluss zu bestätigen.Ich erinnere mich nur an Jobs in Übersee, bei denen aufgrund eines Gesetzes Transkripte angefordert wurden.Niemals in den Staaten.
Stig Hemmer
2017-01-05 14:44:52 UTC
view on stackexchange narkive permalink

Persönlich bin ich hauptsächlich besorgt, dass das System die Registrierungs-ID der Schüler anzeigt.

Ich weiß nicht, wie es an Ihrer Universität läuft, aber in meiner Zeit als Student haben wir das RI auf unsere Prüfungsantwortbögen geschrieben, damit die Schüler nicht wissen, wer wer war.

An Ihrer Universität können die Grader nachsehen, wer wer ist, und das ist meiner Meinung nach eine schwere Sicherheitsverletzung.

Die Fakultät kann ohnehin Registrierungsausweise nachschlagen - an jeder Universität, an der ich gearbeitet habe, und ich bin mir sicher, dass es irgendwo anders ist.Wie sonst würden die Noten mit dem richtigen Schüler in Verbindung gebracht?Der Punkt ist, dass sie während der Benotung nicht wissen, wem die Zahl entspricht, um unbewusste Vorurteile zu reduzieren.
Tim X
2017-01-06 08:46:12 UTC
view on stackexchange narkive permalink

Wenn die Informationen zu den Noten der Schüler eine Person persönlich identifizieren können, ist dies mit ziemlicher Sicherheit ein Problem. Wenn Sie andererseits nur die Verbesserungen sehen können, die einer unbekannten Person zugeordnet sind, dh einer bestimmten Nummer, aber Sie können nicht genau bestimmen, wer diese Nummer darstellt, kann dies möglicherweise nicht als Sicherheitsproblem angesehen werden, da argumentiert werden könnte, dass die Daten anonymisiert wurden . Viel hängt von der geltenden Datenschutzgesetzgebung ab (höchstwahrscheinlich von der britischen Gesetzgebung, dies kann jedoch durch das Land, in dem die Daten gespeichert sind, und die Datenschutzrichtlinien der Institution beeinflusst werden. Beispielsweise müssen die Studierenden möglicherweise zustimmen, ihr Ergebnis zuzulassen Daten werden im Rahmen der Registrierungsbedingungen veröffentlicht. Dies ist jedoch unwahrscheinlich.

In den meisten Ländern gibt es Datenschutzgesetze, die festlegen, was als private oder persönliche Informationen angesehen wird, und in einigen Fällen dem Hosting zusätzliche Verantwortlichkeiten auferlegen Organisation in Bezug darauf, welche Berechtigungsstufe sie von der Person erhalten müssen, um Daten zu veröffentlichen, und welche Maßnahmen sie ergreifen muss, wenn Daten versehentlich offengelegt werden oder gegen eine viasome Art von Sicherheitsmangel verstoßen. Zum Beispiel in den USA, wenn ein Unternehmen einen Vorfall hat, bei dem personenbezogene Daten vorliegen entweder absichtlich oder versehentlich kompromittiert wird und dass Daten mögliche finanzielle Auswirkungen haben, wie die Offenlegung von Kreditkartendaten, die Die Organisation muss für einen bestimmten Zeitraum Kreditüberwachungsdienste für betroffene Personen bereitstellen. Einige Länder haben auch verbindliche Gesetze zur Meldung und Benachrichtigung von Datenverletzungen, nach denen die Organisation Einzelpersonen und häufig eine zentrale Behörde benachrichtigen muss, wenn Daten kompromittiert wurden.

Leider haben die Regierungen Schwierigkeiten, eine klare und konsistente Gesetzgebung in Bezug auf den Datenschutz zu entwickeln und aufrechtzuerhalten Gesetzgebung, die mit der Technologie Schritt halten kann. Es gibt signifikante Unterschiede zwischen den Ländern mit unterschiedlichen Schwerpunkten und Zielen. Zum Beispiel haben die USA erhebliche Richtlinien in Bezug auf den Datenschutz und die Meldepflicht, aber sie haben auch eine Rechtsvorschrift in Bezug auf die innere Sicherheit und die Terrorismusbekämpfung, die nach Ansicht einiger den Datenschutz gefährden. Deutschland und eine Reihe anderer europäischer Länder haben unterschiedliche strenge Gesetze zum Schutz der Privatsphäre erlassen. Australiahas hat vor relativ kurzer Zeit die Datenschutzgesetze aktualisiert, hat jedoch Schwierigkeiten, verbindliche Gesetze zur Meldung von Datenschutzverletzungen usw. einzuführen.

Aus Ihrer Beschreibung geht hervor, dass Sie tatsächlich eine Sicherheitslücke in Bezug auf den Datenzugriff entdeckt haben und diese mit ziemlicher Sicherheit der Universität melden sollten. Leider ist es nicht immer einfach herauszufinden, wie solche Probleme zu melden sind. Der erste Ort, an dem dies überprüft werden muss, ist ein Blick auf die Privatsphäre der Organisation. Es ist auch wahrscheinlich, dass das Vereinigte Königreich über eine zentrale Behörde verfügt, z. B. einen Datenschutzbeauftragten, dem Sie dieses Problem ebenfalls melden können.

Sie sollten sich auch darüber im Klaren sein, dass Sie beim Zugriff auf diese Daten, insbesondere bei der Verwendung, vorsichtig vorgehen müssen die von Ihnen beschriebene URL-Manipulationstechnik oder spezifische Details zum Zugriff auf die Daten. In einigen Ländern könnte argumentiert werden, dass Sie gegen das Gesetz verstoßen haben und wegen „Hacking“ angeklagt werden könnten. Das Tempo des technischen Wandels in Verbindung mit einem Unverständnis innerhalb des Gesetzgebungs- und Justizsystems hat zu einer schlecht formulierten Gesetzgebung und rechtlichen Auslegung dieser Gesetzgebung geführt. Es gab eine Reihe von Fällen, in denen Einzelpersonen wegen der Veröffentlichung von Sicherheitslücken bei Datenzugriffen angeklagt wurden. Während solche Anklagen normalerweise nicht zu einer Verurteilung führen, werden die potenziellen Probleme, die diese Art von Anklage mit sich bringt, am besten vermieden.

user135650
2017-01-08 16:25:02 UTC
view on stackexchange narkive permalink

In der Tat. Insbesondere wenn die Universität sich bereit erklärt, solche Informationen geheim zu halten, könnte dies einen großen Verstoß gegen ihre eigenen Richtlinien darstellen.

iyrin
2017-01-06 14:44:24 UTC
view on stackexchange narkive permalink

In den USA kann das bloße Schreiben eines einfachen Skripts, das solche Informationen abkratzt, zu einer 3,5-jährigen Haftstrafe führen. Wenn die Universität nicht beabsichtigt hat, diese Informationen zu veröffentlichen, wird dies als Sicherheitslücke angesehen.

+1 Dies war die Antwort, an die ich dachte.Manchmal besteht beim Risiko des bloßen Zugriffs auf ein "geschütztes" System, um die privaten Daten anderer zu sehen, unabhängig davon, wie lasch die Sicherheit ist, immer die Gefahr, dass der Hacker mit einer Geldstrafe belegt, inhaftiert wird oder beides.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...