web-dev-qa-db-ja.com

大学生のアドレスが公開されている場合、セキュリティ上の脆弱性ですか?

この件に関して知識が不足して申し訳ありません。

私の大学(基本的にはさまざまな国からの学生がいる英国の国際大学)には、試験結果にアクセスする前に学生にログインを要求するWebサイトがあります。これらの結果には、名前と住所も含まれます。

しかし、ネットワークトランザクションを調べたところ、URLの学生登録番号を直接取得し、それに関連する審査結果を表示するページに行ったことがわかりました。このページは、学生アカウントにログインすることなく、手間をかけずにアクセスでき、学生の名前と住所を公開する試験結果が得られました。私と同じような登録番号を複数試しましたが、すべて簡単に処理できました。

別の問題は、これらの登録番号が固定長であり、番号のみを含み、昇順であることです。たとえば、有効な登録番号が000001の場合、次の番号は000002となります。

したがって、私の意見では、攻撃者はこれらの登録番号をランダムにまたは順番に生成し、数百人の学生の名前と住所を取得できる自動プログラムを簡単に作成できます。

私の質問は:

  1. 大学が学生の名前と住所を公開することは普遍的に承認されている慣行ですか?
  2. 名前と住所に関連する強力なセキュリティが重要ではないということは、大学にとって普遍的に承認されている慣行ですか?
  3. それは深刻な攻撃であり、彼らに報告しなければなりませんか?それとも単に無視できますか?

更新:

大学から返事をもらい、修正しました。 みなさまありがとうございます

91
Ghulam Ali

この件に関して知識が不足して申し訳ありません。

あなたはいけません。

大学が学生の名前と住所を公開することは、世界的に認められた慣行ですか?

コメントで指摘されているように、地域の法律や規制によって異なります。必ず一度チェックしてください。しかし、アプリケーションを説明する方法(結果を含む詳細を取得するためにURLを変更すること)は、バグのように聞こえるため、必ず報告する必要があります。

名前と住所に関連する強力なセキュリティが重要ではないということは、大学にとって普遍的に承認されている慣行ですか?

いいえ、それが大学であろうと、大規模な多国籍企業であろうと、小規模な企業であろうと、個人のアカウントであろうと、セキュリティは常に重要です。

それは深刻な攻撃であり、彼らに報告しなければなりませんか?それとも単に無視できますか?

はい、できるだけ早く大学に報告する必要があります。無視しないでください。

編集:コメントで指摘されているように、学生の住所を公開することを許可している大学がいくつかあります。

93
pri

これは脆弱性です。レコードにアクセスするためにシーケンスされた推測可能な数を使用した方法は、安全でないダイレクトオブジェクトリファレンスと呼ばれる脆弱性のクラスであり、OWASPトップ10( https://www.owasp.org/index .php/Top_10_2013-A4-Insecure_Direct_Object_References

世界のどこに住んでいるかによって、大学はデータ保護法に違反している可能性があります。少なくとも、それは不十分なデータ制御であり、あなたの個人のプライバシーを侵害します、あなたは確かにこれについて彼らに話すべきです。

50
iainpb

大学は英国にあるため、これはほぼ間違いなく DPA 1998 の違反です。つまり、これは狭義の「セキュリティ」の問題ではありません。

学生の自宅住所は、法律の規定内で「個人データ」としてカウントされます。この方法でデータを取得できるという事実は、確かに、原則7の違反であり、おそらく6と8にも違反しています)。原則は次のとおりです 個人データは必須

  1. 公正かつ合法的に処理された。
  2. 限られた目的のために処理された;
  3. 適切、関連性があり、過度ではない。
  4. 正確;
  5. 必要以上に長く保管しない。
  6. ユーザーの権利に従って処理されます。
  7. 安全;そして
  8. eEAからは転送されません。

情報を取得するためにこれをvery軽くハッキングする必要があったという事実は、状況を変更しません。つまり、安全ではないということです。原則7は、全体として、「個人データの不正または違法な処理、および個人データの偶発的な損失または破壊、または損傷に対して、適切な技術的および組織的対策が講じられるものとします」。

最終的な学位分類は、大学との契約の一部が卒業したことを人々に知らせるという意味で、公開データとしてカウントされます。内部/中間のマークはおそらく公開データとして数えられないでしょう(そして、「おそらく」とは、このようにそれらを利用可能にする前に、それらが公開として数えられたという肯定的な議論がなければならないことを意味します)。

大学には、DPAのオフィス/担当者がいて、これを報告するときに弾道的になり(そして私はあなたがそうすべきだと思います)、それを変更するために非常に上級の圧力をかけることができるはずです。彼らはあなたの報告に応じて大したことをしないように見えるかもしれませんが、私は彼らが内部で直ちに行動を起こすことを望みます。彼らがそれをすぐに修正しない場合(またはおそらく、すぐに証拠が表示されない場合でも) ICOへの報告 は、@ daiscogのコメントで示唆されているように、適切です。

これを匿名で報告するという質問については、必要に応じてできますが、問題にならないことと、DPオフィスが適切に慎重になることを願っています(これは、あなたの問題ではなく、非常に彼らの問題です)。カムバックがあった場合、ICOはそれについて極端に興味があると確信しています。

私は事実上、私たち(英国)の大学学部のDP担当官であり、私または大学のDPオフィスがこれについての審理にどのように対応するかを知っています。

(私はもともとこれをコメントとして投稿しましたが、熟考の結果、回答に拡大されました)

25
Norman Gray

これは仕様による可能性があり、機密情報の漏洩とは見なされません。オンラインでディレクトリを見る場合は、 [〜#〜] mit [〜#〜][〜#〜] cmu [〜#〜]スタンフォード大学 、そして私が思いつく他のすべてのものは、学生とスタッフのディレクトリを公開リストに載せています。

米国の大学は一般に、学生の教育記録を保護する [〜#〜] ferpa [〜#〜] についてより懸念しています。

名前、住所、登録ステータス、日付などの「ディレクトリ情報」は、デフォルトでは保護されていません。 ここ は、ディレクトリ情報として認められ、一般に公開できるものの良いリストです。関連する規定は次のとおりです。

学生のディレクトリ情報は、学生がディレクトリ情報の開示を特に要求しない限り、大学外の照会者に公開される場合があります。

私があなただったら、大学に連絡する前にプライバシーポリシーを探してみます。それはおそらく意図的なものです。おそらく大学には、ディレクトリ情報を保護するためのオプトアウト条項があります。

また、ほとんどのWebサイトのディレクトリはクロール禁止リストにあり、検索エンジンでレコードがオンラインにならないようになっています。 robots.txt を確認してください。

そうは言っても、成績は決して公開されるべきではありません。 実際には、まれなFERPAの場合 、等級は、「講師ノート」と見なされることがある個々の教室のスコアではなく、文字/筆記録の等級を指します。

8
Jedi

回答は受け入れられ、PriyankとIainの両方がいくつかの良い点を示していますが、これがより詳細な機密データであるかどうかの質問を検討する価値があると思います。

まず、試験結果(通常、学生は学習過程で多くの試験を受けることになります)と資格(つまり、教育機関による最終的な授与)の間には違いがあります。したがって、個人が現在学生かどうかを推測することもできます。

この情報は、あらゆる種類の標的型フィッシングへの扉を開きます-学生ローンプロバイダーを装った人々、借り換えを提供したり、同窓会の組織を装った人々。

また、ID詐欺の優れた資産でもあります。私は高等教育について wish-it-was-two-factor の質問に出くわしたことはありませんが(「最初の学校は何でしたか」はまだ一般的であるように思われます)そのような施設は詐欺的な仕事/クレジットアプリケーションを促進します。

したがって、これが組織のプライバシーポリシーと地域の規制のどちらに該当するかについての疑問は根拠のないものです。それは、プロバイダーが学生/卒業生に対する世話をする義務の軽視を構成します。

しかし、これの裏側は、私が尋ねる誰か(たとえば、将来の雇用主)に対して私がどの程度学位を持っているかを証明できる唯一の方法は、彼らに少しの紙を見せることです(比較的偽造が簡単です)。しかし、これを読んでいるほとんどの人は、そのような情報を安全に明らかにするためのシンプルで効果的なソリューションを考えることができると思います。

5
symcbean

個人的には、システムが学生の登録IDを公開することを主に懸念しています。

あなたの大学の状況はわかりませんが、学生時代、私は試験の解答用紙にRIを書きました。

あなたの大学では、評価者は誰が誰であるかを調べることができ、それは私の意見では深刻なセキュリティ侵害です。

4
Stig Hemmer

確かに。特に大学がそのような情報を秘密にしておくことに同意した場合、これは彼ら自身の方針の大きな違反になる可能性があります。

3
user135650

学生の成績に関する情報で個人を特定できる場合、これはほぼ間違いなく問題です。一方、表示できるのは、不明な個人に関連付けられたグレード、つまりいくつかの番号に関連付けられているグレードのみである場合、その番号がだれを表しているかを正確に判断できない場合、データが主張される可能性があるため、セキュリティの問題とは見なされない可能性があります匿名化されています。多くは、有効なプライバシー法に依存します(ほとんどの場合、英国の法案ですが、データがホスト/配置されている国や教育機関のプライバシーポリシーによって影響を受ける可能性があります。たとえば、学生は許可に同意するよう求められる場合があります。結果データは登録の契約条件の一部として公開されますが、これはありそうにありません。

ほとんどの国には、プライバシー情報があり、個人情報または個人情報と見なされるものを決定し、場合によっては、データを公開するために個人から取得する必要がある許可のレベルと、必要なアクションに関して、ホスティング組織に追加の責任を課します。データが誤って開示されたり、なんらかのセキュリティ障害によって違反されたりした場合に備えてください。たとえば、米国では、会社が故意または偶然に個人データが侵害され、そのデータがクレジットカードの詳細の漏洩などの財務上の影響を与える可能性があるインシデントが発生した場合、影響を受ける個人に信用監視サービスを提供する必要がありますしばらくの間。一部の国では、データ侵害の報告と通知に関する法律が義務付けられており、データが侵害された場合は組織に個人と多くの場合中央当局に通知する必要があります。

残念ながら、政府はプライバシーに関連する明確で一貫性のある法律を策定し、テクノロジーと歩調を合わせることができる法律を維持するために奮闘してきました。重点と目的が異なる国の間には大きな違いがあります。たとえば、米国にはプライバシーと強制的な報告に関するかなりのポリシーがありますが、国土安全保障と反テロリズムに関する法律もあり、個人データのプライバシーが侵害されていると感じる人もいます。ドイツおよび他の多くのヨーロッパ諸国では​​、個人のプライバシーを保護するための強力な法律が異なります。オーストラリアでは最近、個人のプライバシーに関する法律が更新されていますが、義務的なデータ侵害の報告に関する法律などを導入するのに苦労しています。

あなたの説明から、あなたは確かにデータアクセスの脆弱性を発見したのではないかと思いますし、ほぼ間違いなくそれを大学に報告するべきです。残念ながら、そのような問題を報告する方法を見つけるのは必ずしも簡単ではありません。最初に確認する場所は、組織のプライバシーポリシーです。また、英国にはプライバシーオンブズマンなどの中心的な権限があり、この問題を報告することもできます。

また、このデータへのアクセスについては、特に、説明したURL操作テクニックを使用したり、データへのアクセス方法に関する特定の詳細を提供したりするなど、さまざまな注意が必要であることに注意してください。国によっては、法律を破って「ハッキング」の罪に問われる可能性があると主張される場合があります。技術変化のペースと立法および司法制度内での理解の欠如が組み合わさった結果、立案が不十分な立法およびその立法の法的解釈が生じました。データアクセスの脆弱性を公表したことで個人が起訴された事例は数多くあります。そのような告発は通常、確信をもたらすものではありませんが、この種の告発がもたらす潜在的な面倒を回避するのが最善です。

3
Tim X

米国では、そのような情報をこすり取る単純なスクリプトを書くだけで .5年の文 を取得できます。大学がこの情報を公開する意図がなかった場合、脆弱性と見なされます。

2
iyrin