我很抱歉我对这件事缺乏了解。
我的大学(基本上是英国的一所国际大学,有来自不同国家的学生)有一个网站,要求学生登录才能访问他们的考试结果。这些结果还包括他们的姓名和地址。
但是通过查看网络交易发现,它进入了一个直接获取URL中的学生注册号并显示与之相关的考试结果的页面。该页面无需登录学生帐户即可访问,并且没有任何麻烦,它给了我暴露学生姓名和地址的考试结果。我尝试了多个与我相似的注册号,所有注册号都很容易处理。
另一个问题是这些注册号是固定长度的,只包含数字并且是升序排列的。例如,如果一个有效的注册号是 000001,那么下一个注册号就是 000002,依此类推。
因此,在我看来,攻击者可以轻松创建一个自动化程序,该程序可以随机或按顺序生成这些注册号,并获取数百名学生的姓名和地址。
我的问题是:
更新:
我收到了大学的回复,他们现在已经解决了。感谢大家。
我很抱歉我对这件事缺乏了解。
你不应该。
大学公开学生的姓名和地址是普遍认可的做法吗?
正如评论中所指出的,这取决于您当地的法律法规。你当然应该检查一次。但是您描述应用程序的方式(更改 URL 以获取详细信息,包括结果)听起来像是一个错误,当然应该报告。
与名称和地址相关的强安全性并不重要,这是大学普遍认可的做法吗?
不,无论是大学、大型跨国公司或小型企业,还是您自己的个人账户,安全始终很重要。
这是一次严重的攻击,我必须向他们报告吗?还是可以简单地忽略?
是的,您必须尽快向大学报告。它不应该被忽视。
编辑:正如评论中所指出的,有些大学确实允许公开学生的地址。
这是一个漏洞,他们使用排序的可猜测数字访问记录的方式是一类称为不安全直接对象引用的漏洞,并且在 OWASP 前 10 名(https://www.owasp.org/index.php/Top_10_2013 -A4-Insecure_Direct_Object_References)
根据您居住在世界的哪个地方,大学可能违反了数据保护法。至少这是数据控制不佳,侵犯了您的个人隐私,您当然应该告诉他们。
由于该大学在英国,这几乎可以肯定违反了DPA 1998。也就是说,这不是狭义的“安全”问题。
根据该法案的条款,学生家庭住址肯定会被视为“个人数据”。事实上,您可以通过这种方式检索数据,我非常肯定,这违反了原则 7,并且可能也违反了原则 6 和 8)。原则是个人数据必须是
您必须非常温和地破解它才能获取信息这一事实并不会改变事情:这意味着它不安全。原则 7 的全文是“应采取适当的技术和组织措施,防止未经授权或非法处理个人数据以及防止个人数据意外丢失或破坏或损坏。”
最终的学位分类将被视为公共数据,因为您与大学的合同的一部分是他们会告诉人们您已经毕业。内部/中间标记可能不会被视为公共数据(并且“可能”意味着必须有一个积极的论点,即它们确实被视为公共数据,然后才可以像这样提供它们)。
大学应该有一个 DPA 办公室/官员,当你向他们报告这一点时,他们会大发雷霆(我认为你应该这样做),并且应该能够施加非常高的压力来改变它。他们似乎对你的报告没有大惊小怪,但我希望他们会在内部立即采取行动。如果他们没有及时修复它(或者即使你没有看到他们已经修复的直接证据),那么按照@daiscog 的评论建议向 ICO 报告是合适的。
关于匿名报告的问题,如果你愿意,你可以,但我希望没关系,DP 办公室会适当谨慎(这很大程度上是他们的问题,而不是你的问题)。如果有任何卷土重来,我相信 ICO 会非常有兴趣听到这个消息。
我实际上是我们(英国)大学系的 DP 官员,我知道我或大学 DP 办公室会如何回应听到这件事。
(我最初将此作为评论发布,但经过反思将其扩展为答案)
这可能是设计使然,而不是被认为是敏感信息的泄漏。如果您要查看在线目录,麻省理工学院、CMU、斯坦福大学以及我认为所有其他公开列出的学生和教职员工名录。
美国的大学普遍更关心FERPA,它可以保护学生的教育记录。
姓名、地址、注册状态和日期等“目录信息”默认不受保护。这是一个很好的列表,列出了哪些内容可以被称为目录信息,并且可以向公众公开。相关规定如下:
学生的目录信息可能会发布给大学外的询问者,除非学生特别要求保留目录信息。
如果我是你,我会在联系大学之前四处寻找隐私政策。这很可能是故意的。您的大学可能有一个选择退出条款来保护您的目录信息。
此外,大多数网站的目录都在禁止抓取列表中,因此您的记录不会在搜索引擎上在线。您可能希望检查robots.txt。
话虽如此,成绩永远不应该被披露。在实践中,在罕见的 FERPA 案例中,成绩指的是字母/成绩单成绩,而不是有时被视为“讲师笔记”的个别课堂成绩。