web-dev-qa-db-fra.com

Est-ce une faille de sécurité si les adresses des étudiants universitaires sont révélées?

Je suis désolé pour mon manque de connaissances en la matière.

Mon université (essentiellement une université internationale au Royaume-Uni qui a des étudiants de différents pays) a un site Web qui oblige les étudiants à se connecter avant de pouvoir accéder aux résultats de leurs examens. Ces résultats incluent également leur nom et leur adresse.

Mais en inspectant la transaction réseau, j'ai découvert qu'elle allait sur une page qui prend directement le numéro d'inscription des étudiants dans l'URL et affiche le résultat de l'examen lié à cela. Cette page est accessible sans se connecter au compte étudiant et sans tracas, elle m'a donné le résultat de l'examen qui a révélé le nom et l'adresse de l'étudiant. J'ai essayé plusieurs numéros d'enregistrement similaires au mien et tous ont été traités facilement.

Un autre problème est que ces numéros d'enregistrement sont de longueur fixe, ne contiennent que des numéros et sont en ordre croissant. Ainsi, par exemple, si un numéro d'enregistrement valide est 000001, le suivant serait 000002 et ainsi de suite.

Donc, à mon avis, un attaquant peut facilement créer un programme automatisé qui pourrait générer ces numéros d'inscription, au hasard ou dans l'ordre, et obtenir les noms et adresses de centaines d'étudiants.

Mes questions sont:

  1. Est-ce une pratique universellement approuvée pour les universités d'exposer les noms et adresses des étudiants?
  2. Est-ce une pratique universellement approuvée pour les universités qu'une sécurité élevée liée au nom et à l'adresse n'est pas importante?
  3. S'agit-il d'une attaque grave et dois-je le leur signaler? Ou peut-il simplement être ignoré?

Mise à jour:

J'ai reçu la réponse de l'université et ils l'ont maintenant corrigée. Merci à vous tous.

91
Ghulam Ali

Je suis désolé pour mon manque de connaissances en la matière.

Tu ne devrais pas l'être.

Est-ce une pratique universellement approuvée pour les universités d'exposer le nom et l'adresse des étudiants?

Comme indiqué dans les commentaires, cela dépend de vos lois et réglementations locales. Vous devriez certainement le vérifier une fois. Mais la façon dont vous décrivez l'application (en changeant l'URL pour obtenir les détails, y compris le résultat), cela ressemble à un bug, qui devrait certainement être signalé.

Est-ce une pratique universellement approuvée pour les universités qu'une sécurité élevée liée au nom et à l'adresse n'est pas importante?

Non, que ce soit une université ou une grande multinationale ou une petite entreprise, ou votre propre compte personnel, la sécurité est TOUJOURS importante.

S'agit-il d'une attaque grave et dois-je le leur signaler? Ou peut-il simplement être ignoré?

Oui, vous devez le signaler à l'université dès que possible. Il ne faut pas l'ignorer.

EDIT: Comme indiqué dans les commentaires, certaines universités autorisent la publication des adresses des étudiants.

93
pri

Il s'agit d'une vulnérabilité, la façon dont ils ont utilisé des nombres séquentiels devinables pour accéder aux enregistrements est une classe de vulnérabilité appelée Insecure Direct Object Reference et figure dans le Top 10 OWASP ( https://www.owasp.org/index .php/Top_10_2013-A4-Insecure_Direct_Object_References )

Selon l'endroit où vous vivez dans le monde, l'université peut contrevenir aux lois sur la protection des données. À tout le moins, c'est un mauvais contrôle des données et une violation de votre vie privée, vous devriez certainement leur en parler.

50
iainpb

Étant donné que l'université est au Royaume-Uni, il s'agit presque certainement d'une violation de la DPA 1998 . Autrement dit, il ne s’agit pas uniquement d’une question de "sécurité".

Une adresse personnelle d'étudiant compterait certainement comme "données personnelles" au sens de la loi. Le fait que vous puissiez récupérer les données de cette manière est, j'en suis sûr, une violation du principe 7, et probablement 6 et 8 également). Les principes sont que les données personnelles doivent être

  1. traitées loyalement et licitement;
  2. traitées à des fins limitées;
  3. adéquat, pertinent et non excessif;
  4. précis;
  5. non conservé plus longtemps que nécessaire;
  6. traitées conformément aux droits des utilisateurs;
  7. sécurise; et
  8. pas transféré hors de l'EEE.

Le fait que vous deviez très légèrement pirater cela pour obtenir les informations ne change rien: cela signifie que ce n'est pas sécurisé. Le principe 7, dans son intégralité, est "Des mesures techniques et organisationnelles appropriées doivent être prises contre le traitement non autorisé ou illégal de données à caractère personnel et contre la perte ou la destruction accidentelle de données à caractère personnel ou leur endommagement."

Une classification finale des diplômes compterait comme des données publiques, dans le sens où une partie de votre contrat avec l'université est qu'elles indiqueraient aux gens que vous avez obtenu votre diplôme. Les marques internes/intermédiaires ne seraient probablement pas considérées comme des données publiques (et cela "probablement" signifie qu'il devrait y avoir un argument positif selon lequel elles comptent comme publiques, avant de pouvoir les rendre disponibles comme ceci).

L'université devrait avoir un bureau/officier de la DPA qui ira balistique lorsque vous leur signalerez cela (et je pense que vous devriez), et devrait être en mesure d'obtenir des pressions très élevées pour le changer. Ils ne sembleront peut-être pas très compliqués en réponse à votre rapport, mais j'espère qu'ils prendront des mesures immédiates en interne. S'ils ne le résolvent pas rapidement (ou peut-être même si vous ne voyez pas de preuve immédiate qu'ils l'ont fait), alors un rapport à l'ICO , comme suggéré par le commentaire de @ daiscog, serait approprié.

En ce qui concerne la question de signaler cela de manière anonyme, vous pouvez le faire si vous le souhaitez, mais j'espère que cela n'aura pas d'importance et que le bureau du DP sera suffisamment discret (c'est leur problème, pas le vôtre). S'il y avait un retour, je suis sûr que l'ICO serait extrêmement intéressé à en entendre parler.

Je suis en fait l'officier DP de notre département universitaire (UK), et je sais comment moi ou le bureau DP de l'université réagirions à entendre parler de cela.

(J'ai initialement posté cela en tant que commentaire, mais après réflexion, je l'ai développé en réponse)

25
Norman Gray

Il est possible que ce soit par conception, et non comme une fuite d'informations sensibles. Si vous regardiez des répertoires en ligne, MIT , CMU , Stanford , et tous les autres que je pense à tous les répertoires des étudiants et du personnel.

Aux États-Unis, les universités sont généralement plus préoccupées par FERPA , qui protège les dossiers scolaires des étudiants.

Les "informations d'annuaire" telles que le nom, l'adresse, le statut d'inscription et les dates ne sont pas protégées par défaut. Ici est une bonne liste de ce qui est considéré comme des informations de répertoire et peut être révélé au public. La stipulation pertinente se lit comme suit:

Les informations de l'annuaire d'un étudiant peuvent être divulguées à un demandeur, en dehors de l'Université, à moins que l'étudiant ne demande spécifiquement que les informations de l'annuaire soient retenues.

Si j'étais vous, je chercherais une politique de confidentialité avant de contacter l'université. C'est probablement intentionnel. Votre université a probablement une clause de retrait pour protéger les informations de votre annuaire.

De plus, la plupart des sites Web ont leurs répertoires sur des listes à ne pas explorer afin que vos enregistrements ne soient pas en ligne sur les moteurs de recherche. Vous pouvez vérifier le robots.txt .

Cela étant dit, les notes ne devraient jamais être divulguées. En pratique, dans un cas rare de la FERPA , les notes se réfèrent aux notes des lettres/relevés de notes et non aux notes individuelles de la classe qui sont parfois considérées comme des "notes de l'enseignant".

8
Jedi

Bien qu'une réponse ait été acceptée et que Priyank et Iain avancent tous deux de bons arguments, je pense qu'il vaut la peine d'examiner la question de savoir s'il s'agit de données sensibles de manière plus approfondie.

Tout d'abord, il y a une différence entre les résultats des examens (généralement un étudiant passera de nombreux examens au cours de son cursus) et les qualifications (c'est-à-dire la sentence finale de l'établissement). Il est donc également possible de déduire si une personne est actuellement étudiante.

Ces informations ouvrent la porte à toutes sortes de phishing ciblé - des personnes prétendant être un fournisseur de prêts aux étudiants, offrant un refinancement ou prétendant être des organisations d'anciens étudiants.

C'est également un grand atout pour la fraude d'identité. Bien que je n'aie jamais rencontré j'aimerais que ce soit deux facteurs une question sur l'enseignement supérieur ("Quelle était notre première école" semble toujours courante), une telle facilité faciliterait les demandes frauduleuses d'emplois/crédits .

Par conséquent, la question de savoir si cela relève de la politique de confidentialité de l'organisation ou de la réglementation locale est théorique: cela constitue une dérogation au devoir de diligence des prestataires envers leurs étudiants/diplômés.

Mais le revers de la médaille est qu'il me semble fou que la seule façon de prouver les diplômes que j'ai à quelqu'un qui demande (par exemple, un employeur potentiel) est de leur montrer un peu de papier (relativement facile à truquer). Mais j'imagine que la plupart des gens qui liront ceci pourraient penser à des solutions simples et efficaces pour révéler en toute sécurité de telles informations.

5
symcbean

Personnellement, je suis surtout préoccupé par le fait que le système révèle le ID d'inscription des étudiants.

Je ne sais pas comment les choses se passent dans votre université, mais pendant mon temps en tant qu'étudiant, nous avons écrit le RI sur nos feuilles de réponses aux examens afin que les correcteurs ne sachent pas qui était qui.

À votre université, les élèves peuvent rechercher qui est qui et c'est, à mon avis, une grave atteinte à la sécurité.

4
Stig Hemmer

En effet. Surtout si l'université accepte de garder ces informations privées, cela pourrait constituer une énorme violation de leurs propres politiques.

3
user135650

Si les informations sur les notes des élèves peuvent identifier personnellement un individu, c'est presque certainement un problème. Si, d'un autre côté, tout ce que vous pouvez voir, ce sont les notes associées à un individu inconnu, c'est-à-dire associées à un certain nombre, mais vous ne pouvez pas déterminer précisément qui ce nombre représente, alors il ne peut pas être considéré comme un problème de sécurité car on pourrait faire valoir les données a été anonymisé. Cela dépend beaucoup de la législation en vigueur sur la confidentialité (très probablement la législation britannique, mais cela peut être affecté par le pays où les données sont hébergées/situées et les politiques de confidentialité de l'institution. Par exemple, les étudiants pourraient être tenus d'accepter d'autoriser leurs données sur les résultats étant rendues publiques dans le cadre des conditions d'inscription, mais cela est peu probable.

La plupart des pays ont une législation sur la confidentialité qui détermine ce qui est considéré comme des informations privées ou personnelles et, dans certains cas, impose des responsabilités supplémentaires à l'organisation d'hébergement en ce qui concerne le niveau d'autorisation qu'elle doit obtenir de l'individu pour rendre les données publiques et les actions à entreprendre. prendre en cas de divulgation accidentelle ou de violation de données par une sorte de défaillance de la sécurité. Par exemple, aux États-Unis, si une entreprise a un incident où les données personnelles sont délibérément ou accidentellement compromises et que ces données ont des implications financières possibles, telles que l'exposition des détails de carte de crédit, l'organisation est tenue de fournir des services de surveillance du crédit aux personnes concernées. pour une période de temps. Certains pays ont également une législation obligatoire en matière de signalement et de notification des violations de données, qui oblige l'organisation à informer les individus et souvent une autorité centrale lorsque les données sont compromises.

Malheureusement, les gouvernements ont eu du mal à élaborer une législation claire et cohérente relative à la vie privée et à maintenir une législation capable de suivre le rythme de la technologie. Il existe des différences importantes entre les pays ayant des objectifs et des objectifs différents. Par exemple, les États-Unis ont des politiques considérables en matière de confidentialité et de déclaration obligatoire, mais ils ont également une législation relative à la sécurité intérieure et à la lutte contre le terrorisme qui, selon certains, compromet la confidentialité des données personnelles. L'Allemagne et un certain nombre d'autres pays européens ont des législations fortes différentes pour protéger la vie privée. L'Australie a relativement récemment mis à jour sa législation sur la protection des renseignements personnels, mais a du mal à introduire une législation obligatoire sur la déclaration des violations de données, etc.

D'après votre description, je soupçonne que vous avez en effet découvert une vulnérabilité d'accès aux données et que vous devriez presque certainement la signaler à l'Université. Malheureusement, il n'est pas toujours facile de savoir comment signaler de tels problèmes. Le premier endroit à vérifier serait de consulter la politique de confidentialité de l'organisation. Il est également probable que le Royaume-Uni dispose d'une autorité centrale, comme un médiateur de la confidentialité, auquel vous pouvez également signaler ce problème.

Vous devez également savoir que vous devez faire attention à l'accès à ces données, en particulier en utilisant la technique de manipulation d'URL que vous avez décrite ou en fournissant des détails spécifiques sur la façon d'accéder aux données. Dans certains pays, on pourrait soutenir que vous avez enfreint la loi et vous pourriez être accusé de "piratage". Le rythme des changements techniques, combiné à un manque de compréhension au sein des systèmes législatif et judiciaire, a abouti à une législation mal rédigée et à une interprétation juridique de cette législation. Il y a eu un certain nombre de cas où des individus ont été accusés d'avoir fait connaître des vulnérabilités d'accès aux données. Bien que de telles accusations n'aboutissent généralement pas à une condamnation, il est préférable d'éviter les tracas potentiels que ce type d'accusation entraîne.

3
Tim X

Aux États-Unis, le simple fait d'écrire un script simple qui gratte de telles informations peut vous donner une phrase de 3,5 ans . Si l'université n'avait pas l'intention de rendre cette information publique, elle sera considérée comme une vulnérabilité.

2
iyrin