Ho appena scoperto che la pagina di accesso dei miei ex studenti universitari è semplicemente HTTP. Wireshark ha confermato che le credenziali vengono inviate utilizzando un messaggio HTTP POST. Ho fatto un po 'di ricerca e, come pensavo, HTTPS dovrebbe essere sempre utilizzato nella pagina di accesso (vedi È sicuro che un sito serva la pagina di accesso con HTTP, ma ha il sito effettivo in HTTPS?).
Prima di tutto, vorrei fare un favore alla mia università, ma come posso convincerla a intraprendere delle azioni? È molto probabile che i miei dati personali, come laurea e anno di laurea, siano archiviati nel database degli ex studenti. Non sorprende che alcune organizzazioni non prendano sul serio tale rapporto (vedi Come faccio a segnalare una vulnerabilità a una grande organizzazione che non crede di avere un problema?). Ho inviato un'e-mail all'helpdesk IT dell'università utilizzando il mio account di posta elettronica degli alumni, ma il personale mi ha chiesto di indirizzare la mia richiesta a un'e-mail di richiesta di informazioni generali per gli ex alunni.
Oltre ai dettagli tecnici, come posso assicurarmi che nessuna polizia mi arresterà per hacking? Non ho tentato di rubare alcuna informazione personale. Non mi interessa segnalare questa vulnerabilità a qualche forum sulla sicurezza prima che l'università intraprenda un'azione.
P.S. Sono imbarazzato dal fatto che la mia laurea in scienze informatiche provenisse da quella scuola.