Domanda:
È una vulnerabilità di sicurezza se gli indirizzi degli studenti universitari sono esposti?
Ghulam Ali
2017-01-04 16:39:24 UTC
view on stackexchange narkive permalink

Mi dispiace per la mia mancanza di conoscenza in questa materia.

La mia università (fondamentalmente un'università internazionale nel Regno Unito che ha studenti di diversi paesi) ha un sito web che richiede agli studenti di accedere prima di possono accedere ai risultati degli esami. Questi risultati includono anche il loro nome e indirizzo.

Ma esaminando la transazione di rete, ho scoperto che è andata a una pagina che prende direttamente il numero di registrazione dello studente nell'URL e mostra il risultato dell'esame relativo a quello. È possibile accedere a questa pagina senza accedere all'account dello studente e senza problemi, mi ha fornito il risultato dell'esame che mostrava il nome e l'indirizzo dello studente. Ho provato più numeri di registrazione simili al mio e tutti sono stati elaborati facilmente.

Un altro problema è che questi numeri di registrazione sono di lunghezza fissa, contengono solo numeri e sono in ordine crescente. Quindi, ad esempio, se un numero di registrazione valido è 000001, il successivo sarebbe 000002 e così via.

Quindi, a mio parere, un utente malintenzionato può facilmente creare un programma automatizzato in grado di generare questi numeri di registrazione, in modo casuale o in ordine e ottenere i nomi e gli indirizzi di centinaia di studenti.

Le mie domande sono:

  1. È prassi universalmente approvata per le università esporre i nomi e gli indirizzi degli studenti?
  2. È prassi universalmente approvata per le università che una forte sicurezza relativa a nome e indirizzo non sia importante?
  3. È un attacco grave e devo segnalarlo a loro? O può essere semplicemente ignorato?

Aggiornamento:

Ho ricevuto la risposta dall'università e ora l'hanno risolta. Grazie a tutti voi.

Se l'Università si trova nel Regno Unito, questa potrebbe essere una violazione del Data Protection Act e se non viene risolta immediatamente dall'Università, può essere segnalata all '[Information Commissioner's Office] (https://ico.org.uk/ preoccupazioni / gestione /) che possono decidere di intraprendere ulteriori azioni.
Dov'è questa università?I voti sono accessibili anche pubblicamente?
Potresti considerare di segnalarlo in modo anonimo.
Se ho capito bene stai dicendo che la tua università ha una pagina dove, dato il numero di matricola di uno studente, ti danno nome e indirizzo postale (o indirizzo email?), Ed eventualmente il voto di un esame?
@daiscog l'università ha sede nel Regno Unito.
@Josh sì, sono davvero preoccupato su come segnalarlo, penso che la segnalazione anonima sarebbe molto meglio.Grazie.
@daiscog grazie per il collegamento, lo esaminerò.
@Bakuriu, sì, totalmente corretto.Ma visualizzandolo prima chiedi il nome utente e la password dello studente prima che forniscano il rapporto, se usiamo la vulnerabilità possiamo bypassare quel login e vedere il rapporto senza effettuare il login.
@GhulamAli Finché voi ragazzi siete ancora nell'UE, questo è un problema molto serio che la vostra università ha lì.È chiaramente illegale secondo il diritto dell'UE.
A meno che tu non abbia provveduto a nascondere il tuo indirizzo IP durante gli accessi originali, non puoi davvero segnalarlo in modo completamente anonimo.
Il commento di @daiscog's è davvero la migliore risposta, penso.Poiché l'università si trova nel Regno Unito, questa è quasi certamente una violazione del DPA (violazione del principio 7, e probabilmente anche 6 e 8).L'università dovrebbe avere un ufficio / funzionario del DPA che impazzirà quando riferirai questo (e penso che dovresti), e dovrebbe essere in grado di ricevere pressioni molto senior per cambiarlo.Se non lo risolvono prontamente, un rapporto all'ICO, come suggerito, sarebbe appropriato.
La domanda posta nel titolo, "È una vulnerabilità di sicurezza se ...", ha una risposta fondamentalmente ambigua anche in uno scenario così chiaro.La frase "vulnerabilità della sicurezza" può essere definita come "qualcosa di sorprendente che puoi fare con un sistema che controlli" e sebbene questo caso sia semi-obiettivo nel senso che "beh, sarebbe certamente una sorpresa per i regolatori del governo che presumibilmente emetterebbero unbene! "ha ancora molte di queste caratteristiche della soggettività.
* Vorresti * che il tuo indirizzo e nome trapelassero?
Ringrazio che l'accesso a queste pagine su qualsiasi studente diverso da te, pur comprendendo che l'università intendeva mantenerle private, sarebbe un crimine ai sensi della [sezione 1 della legge sull'uso improprio del computer] (http://www.legislation.gov.uk / ukpga / 1990/18 / sezione / 1)
"controllando la transazione di rete" - significa anche che la connessione non è protetta con un certificato SSL?
Se gli indirizzi degli studenti fossero solo caselle di posta presso l'ufficio postale del campus, ciò sarebbe meno eclatante, ma comunque negativo.
@w3d la connessione era https ma il sito web utilizzava Ajax, quindi ho esaminato la fonte HTML e ho trovato il collegamento chiaro che stava usando.
@emory No, non sono le caselle di posta al campus.È il loro indirizzo personale.
Di solito, tutto ciò che è correlato alla parola "esposto" è cattivo.
Se / quando lo segnali, suggerirei di evidenziare il fatto che puoi vedere i voti degli altri studenti.È più probabile che si tratti di una violazione che di rendere pubblici i loro indirizzi.Per due volte ho segnalato problemi simili al mio precedente college e il problema è stato sempre ben accolto e risolto rapidamente una volta arrivato alla persona giusta.
@GhulamAli Solo per curiosità, hai avuto la possibilità di segnalarlo?In caso affermativo, è stata intrapresa alcuna azione dal lato amministratore?
@PriyankGupta Sì, l'ho segnalato 4 giorni fa.Nessuna risposta ancora.Ma la risposta automatica a quell'indirizzo e-mail diceva che risponderanno entro 5 giorni.
Quindi ho ricevuto la risposta, la persona mi ha detto che ha inoltrato la mia e-mail al dipartimento competente dove verrà discusso il problema e si metterà in contatto con me se necessario.Aggiornerò se ricevo ulteriori messaggi.
Nove risposte:
#1
+93
pri
2017-01-04 16:53:41 UTC
view on stackexchange narkive permalink

Mi dispiace per la mia mancanza di conoscenza in questa materia.

Non dovresti esserlo.

È una pratica universalmente approvata che le università espongano il nome e gli indirizzi degli studenti?

Come sottolineato nei commenti, dipende dalle leggi e dai regolamenti locali. Dovresti sicuramente controllarlo una volta. Ma il modo in cui descrivi l'applicazione (cambiando l'URL per ottenere i dettagli, compreso il risultato), suona come un bug, che dovrebbe certamente essere segnalato.

È una pratica universalmente approvata per le università che una forte sicurezza relativa a nome e indirizzo non è importante?

No, che si tratti di un'università o di una grande multinazionale o di una piccola impresa, o del tuo account personale, la sicurezza è SEMPRE importante.

È un attacco grave e devo segnalarlo a loro? Oppure può essere semplicemente ignorato?

Sì, devi segnalarlo all'università il prima possibile. Non dovrebbe essere ignorato.

EDIT: come sottolineato nei commenti, ci sono alcune università che consentono di rendere pubblici gli indirizzi degli studenti.

Si noti che a seconda della posizione dell'Università questa potrebbe essere una * enorme * responsabilità legale / finanziaria ...
@JaredSmith Oppure può essere completamente ignorato, come il caso coperto da Troy Hunt su un sito web che espone informazioni sanitarie in India https://www.troyhunt.com/43-203-indian-patient-pathology-reports-were-left-publicly-soluzioni-esposte-per-salute /
Come ho sottolineato nella mia risposta [sotto] (http://security.stackexchange.com/a/147245/111626), questa risposta è probabilmente imprecisa.Le università nella maggior parte dei paesi Five Eyes divulgano pubblicamente "informazioni di directory" con la possibilità di un opt-out.
@Jedi: OP afferma di essere in grado di accedere anche ai risultati, mentre il link che hai condiviso suggerisce che GPA / voti non dovrebbero essere resi pubblici.Personalmente, non vorrei condividere nemmeno il mio indirizzo permanente con il mondo esterno.Inoltre, se l'università dispone di una tale facilità, per fornire i dettagli degli studenti, allora dovrebbe essere in modo elegante.Il modo in cui OP descrive la situazione (numero di registrazione nell'URL), suona come un bug nel sito web.
@PriyankGupta esattamente.Le università dividono le informazioni di classe FERPA in due categorie "directory" e "private".Gradi, DoB è privato, le informazioni di contatto e l'indirizzo non lo sono."No, esporre i nomi e gli indirizzi è una grave violazione della privacy." Questa dichiarazione è quindi inesatta.L'esposizione di nomi e indirizzi è consentita dall'informativa sulla privacy di Stati Uniti / Regno Unito / ecc.università.Ciò non significa che la sicurezza o la privacy delle tue informazioni personali non siano importanti.OP dovrebbe verificare le leggi pertinenti che si applicano al suo paese.I voti positivi su questa risposta significherebbero che Stanford, MIT, CMU hanno torto?
@Jedi: Ora che ho un esempio di Virginia Tech, ho modificato la risposta.Grazie per i tuoi contributi!:)
@PriyankGupta per non essere polemico ma la risposta è ancora imprecisa.Non è l'università che decide.La legge pertinente, ovvero la FERPA negli Stati Uniti, richiede che "Le informazioni sull'elenco di uno studente possano essere rilasciate a un richiedente ..." e gli studenti devono rinunciare individualmente.Le università potrebbero / dovrebbero essere più sensibili alla privacy e rendere più facile la rinuncia, ma definirlo un attacco grave senza conoscere i fatti significa affrettarsi a giudicare.OP dovrebbe prima controllare le leggi pertinenti e come si applicano e [compilare un modulo se necessario] (https://www.cmu.edu/hub/ferpa.html).
@PriyankGupta: All'Università di Cambridge, i voti sono informazioni pubbliche (sono pubblicati sui muri della Camera del Senato).OTOH, se questa è un'università del Regno Unito, l'ICO non sarà decisamente impressionato.
@Jedu In un college in cui lavoravo negli Stati Uniti, questo sarebbe un ** enorme ** affare.Una studentessa è stata uccisa da un ex violento perché qualcuno gli ha dato informazioni su di lei che non avrebbero dovuto.Forse non infrange alcuna legge nel 99,999% dei casi, ma quello studente che ha rinunciato potrebbe aver avuto ottime ragioni.
@JaredSmith la maggior parte delle organizzazioni avrà una clausola nel contratto / T & C / ecc. Che sostanzialmente dice che dai loro il permesso di fare quello che vogliono con le tue informazioni per evitare di essere ritenuti responsabili quando si verificano problemi come questo.
@Aequitas avendo detta clausola contrattuale e averla * effettivamente * trattenuta in tribunale sono due cose diverse.Inoltre, le università vivono e muoiono reclutando, che si basa sulla percezione pubblica.Nessuna scuola vorrebbe quel tipo di successo di pubbliche relazioni.
@Kat V, La risposta originale dipinta con un pennello largo, ed era quindi imprecisa.Non ho litigi con la risposta così com'è.È bello sapere che un'università sta adottando misure proattive per migliorare la privacy.Tuttavia, supportano le loro azioni con una politica scritta che lo garantisca agli studenti?La percezione pubblica è sopravvalutata.
Anche se molte università gestiscono un elenco pubblico, spesso c'è un modo per rinunciare o per rendere non pubbliche alcune informazioni, proprio a causa di situazioni come quella citata da @Kat.È ovviamente possibile che le informazioni qui siano esattamente le stesse di quelle pubblicate in una directory disponibile pubblicamente, ma ciò dovrebbe essere esaminato come parte della determinazione della gravità di questa vulnerabilità.
@MartinBonner grande differenza tra la pubblicazione su un muro da qualche parte e la possibilità di accedervi online attraverso un possibile problema tecnico non intenzionale del sito web.
Il problema fondamentale è violare un'aspettativa di privacy.Se gli studenti si aspettano che la scuola renda pubblico il loro indirizzo quando forniscono alla scuola quell'informazione, non c'è problema.Se non lo fanno e la scuola lascia che siano esposti, è un problema serio.Le leggi locali definiscono solo in quanti guai si trova la scuola. Anche se non fossero applicate, qui c'è un imperativo morale.
Se il college decide di rendere pubbliche le informazioni per impostazione predefinita, dovrebbe menzionarlo esplicitamente mentre ammette gli studenti, in modo che gli studenti non abbiano alcun tipo di falsa impressione.
#2
+50
iainpb
2017-01-04 19:16:04 UTC
view on stackexchange narkive permalink

Questa è una vulnerabilità, il modo in cui hanno utilizzato numeri indovinabili in sequenza per accedere ai record è una classe di vulnerabilità chiamata Insecure Direct Object Reference ed è inclusa nella OWASP Top 10 ( https://www.owasp.org /index.php/Top_10_2013-A4-Insecure_Direct_Object_References)

A seconda di dove vivi nel mondo, l'università potrebbe violare le leggi sulla protezione dei dati. Per lo meno si tratta di uno scarso controllo dei dati e viola la tua privacy personale, dovresti certamente dirglielo.

#3
+25
Norman Gray
2017-01-05 22:06:20 UTC
view on stackexchange narkive permalink

Poiché l'università si trova nel Regno Unito, questa è quasi certamente una violazione del DPA 1998. Cioè, questo non è strettamente un problema di "sicurezza".

L'indirizzo di casa di uno studente conterebbe certamente come "dati personali" entro i termini della legge. Il fatto che tu possa recuperare i dati in questo modo è, ne sono molto sicuro, una violazione del principio 7, e probabilmente anche 6 e 8). I principi sono che i dati personali devono essere

  1. trattati in modo equo e lecito;
  2. elaborati per scopi limitati;
  3. adeguati , pertinente e non eccessivo;
  4. accurato;
  5. non conservato più a lungo del necessario;
  6. elaborato in linea con i diritti degli utenti;
  7. sicuro; e
  8. non trasferiti al di fuori del SEE.

Il fatto che tu abbia dovuto molto hackerare leggermente questo per ottenere le informazioni non cambia cose: significa che non è sicuro. Il principio 7, nella sua interezza, è: "Devono essere prese misure tecniche e organizzative adeguate contro il trattamento non autorizzato o illegale dei dati personali e contro la perdita, la distruzione o il danneggiamento accidentale dei dati personali".

Un ultimo grado la classificazione conta come dati pubblici, nel senso che parte del tuo contratto con l'università è che direbbero alle persone che ti sei laureato. I voti interni / intermedi probabilmente non conterebbero come dati pubblici (e questo "probabilmente" significa che ci dovrebbe essere un argomento positivo sul fatto che contano come pubblici, prima che fosse OK renderli disponibili in questo modo).

L'università dovrebbe avere un ufficio / funzionario DPA che impazzirà quando gli riferirai questo (e penso che dovresti), e dovrebbe essere in grado di ottenere una pressione molto alta per cambiarlo. Potrebbero non sembrare un gran chiasso in risposta alla sua relazione, ma spero che intraprendano un'azione interna immediata. Se non lo risolvono prontamente (o forse anche se non vedi prove immediate che lo hanno fatto), allora un rapporto all'ICO, come suggerito dal commento di @ daiscog, sarebbe corretto.

Per quanto riguarda la questione della segnalazione in modo anonimo, potresti farlo se lo desideri, ma spero che non abbia importanza e che l'ufficio DP sia adeguatamente discreto ( questo è un problema loro, non tuo). Se ci fosse un ritorno, sono sicuro che l'ICO sarebbe estremamente interessato a saperne di più.

Sono in effetti l'ufficiale DP nel nostro dipartimento universitario (Regno Unito) , e so come risponderemmo io o l'ufficio del DP dell'università se ne venisse a conoscenza.

(L'ho postato originariamente come un commento, ma riflettendoci ho ampliato in una risposta)

#4
+8
Jedi
2017-01-04 20:28:35 UTC
view on stackexchange narkive permalink

È possibile che sia in base alla progettazione e non pensato come fuga di informazioni sensibili. Se dovessi guardare le directory online, MIT, CMU, Stanford e qualsiasi altro, penso a tutte le directory degli studenti e del personale.

Le università negli Stati Uniti sono generalmente più preoccupate per FERPA, che protegge i documenti relativi all'istruzione degli studenti.

"Le informazioni della directory" come nome, indirizzo, stato di registrazione e date non sono protette per impostazione predefinita. Ecco un buon elenco di ciò che si qualifica come informazione di directory e che può essere rivelato al pubblico. La clausola pertinente recita:

Le informazioni sulla directory di uno studente possono essere rilasciate a un richiedente, al di fuori dell'Università, a meno che lo studente non richieda specificamente che le informazioni sulla directory siano nascoste.

Se fossi in te, mi guarderei intorno per una politica sulla privacy prima di contattare l'università. Probabilmente è intenzionale. La tua università probabilmente ha una clausola di esclusione per proteggere le informazioni della tua directory.

Inoltre, la maggior parte dei siti Web ha le proprie directory su elenchi di non scansione in modo che i record non siano online sui motori di ricerca. Potresti voler controllare il robots.txt.

Detto questo, i voti non dovrebbero mai essere divulgati. In pratica, in un raro caso FERPA, i voti si riferiscono a voti in lettere / trascrizioni e non a punteggi individuali di classe che a volte sono considerati "appunti del docente".

Nessuna delle pagine dell'università che hai collegato mostra gli indirizzi degli studenti o del personale.Mostrano solo i nomi degli studenti, gli ID del campus e le email della scuola.
A supporto di @Jedi,, posso confermare che Virginia Tech mostra certamente gli indirizzi degli studenti di chiunque non abbia rinunciato.search.vt.edu/people.jsp
@Yay295: cerca Aiken nella directory di Stanford [mi dà tutte le sue informazioni] (https://stanfordwho.stanford.edu/SWApp/detailAction.do?key=DS036G974&search=aiken&soundex=&stanfordonly=&affilfilter=everyone&filters=closed) (non sicuroil collegamento persisterà).La mia università rivela i miei dettagli e li ho seguiti per conoscere le sezioni pertinenti della FERPA.
@Jedi, che sembra essere l'eccezione, non la regola.Ho controllato 100 risultati casuali e solo 4 di loro hanno mostrato il loro indirizzo di casa.Se dovessi rinunciare a nascondere queste informazioni, mi sarei aspettato che fosse più alto, quindi sembra probabile che queste persone abbiano scelto specificamente di rilasciare il loro indirizzo di casa.
Fino al 2014 il MIT mostrava tutte queste informazioni nella sua directory https://thetech.com/2014/07/09/mitpeople-v134-n29
@Yay295 il modo in cui funziona nella mia università (per indirizzi di casa / numeri di telefono) è che compili un modulo che fornisce le informazioni all'università, cosa che in genere fai come docente, personale o assistente di ricerca / insegnamento retribuito.Quello che voglio dire non è che la visualizzazione delle informazioni sull'indirizzo sia diffusa / comune, ma che sia legale.Cito le parti pertinenti di FERPA che sono applicabili.
robots.txt non è una misura di sicurezza (in particolare quando dice "caro google, per favore non guardare supersecretpage", questo potrebbe piuttosto aiutare gli aggressori a trovarlo)
@HagenvonEitzen buon punto.In questo caso viene utilizzato come previsto.Ha lo scopo di impedire l'indicizzazione delle informazioni di contatto da parte di crawler "simpatici" in modo che non vengano visualizzati in una ricerca su Google, ad esempio.
Anche se OP ha chiesto solo esplicitamente informazioni sulla directory, a mio parere dovresti dare maggiore enfasi al tuo ultimo paragrafo: collegando altre informazioni alle informazioni sulla directory, questo diventa un grosso problema che dovrebbe essere affrontato!
Questa risposta non è corretta.L'OP è nel Regno Unito e pertanto si applicano le leggi del Regno Unito / SEE / UE.Le informazioni personali sono tutti i dati, o una combinazione di dati, che possono essere utilizzati per identificare e individuare, quale nome e indirizzo sono certamente.Questi dati non avrebbero mai dovuto essere rilasciati.
@Ben, Ho perso l'aggiornamento della posizione di OP.Aggiornerò la risposta di conseguenza per indicare che vale solo per gli Stati Uniti.
#5
+5
symcbean
2017-01-04 23:06:48 UTC
view on stackexchange narkive permalink

Anche se una risposta è stata accettata e sia Priyank che Iain hanno fatto alcuni buoni punti, penso che valga la pena esaminare la questione se si tratta di dati sensibili in modo più approfondito.

Prima di tutto, c'è qualcosa di una differenza tra i risultati degli esami (tipicamente uno studente avrà molti esami durante il corso di studi) e le qualifiche (cioè il premio finale da parte dell'istituto). Quindi è anche possibile dedurre se una persona è attualmente uno studente.

Queste informazioni aprono la porta a tutti i tipi di phishing mirato: persone che fingono di essere un fornitore di prestiti studenteschi, che offrono rifinanziamenti o che fingono di essere ufficiali organizzazioni di ex allievi.

È anche una grande risorsa per la frode di identità. Anche se non mi sono mai imbattuto in una domanda sul desiderio che fosse a due fattori sull'istruzione superiore ("Qual è stata la nostra prima scuola" sembra ancora comune), una simile struttura faciliterebbe le domande di lavoro / credito fraudolente .

Quindi, la questione se questo rientri nella politica sulla privacy delle organizzazioni o nella regolamentazione locale è controversa: costituisce un abbandono del dovere di cura dei fornitori nei confronti dei loro studenti / laureati.

Ma il rovescio della medaglia è che mi sembra assurdo che l'unico modo per dimostrare quali titoli ho a qualcuno che me lo chiede (ad esempio un potenziale datore di lavoro) è mostrare loro un pezzo di carta (relativamente facile da falsificare). Ma immagino che la maggior parte delle persone che leggono questo articolo sarebbe in grado di pensare a soluzioni semplici ed efficaci per rivelare in modo sicuro tali informazioni.

Le aziende IME chiamano semplicemente la scuola per confermare la laurea.Ricordo solo un lavoro all'estero che chiedeva trascrizioni a causa di una legge.Mai negli Stati Uniti.
#6
+4
Stig Hemmer
2017-01-05 14:44:52 UTC
view on stackexchange narkive permalink

Personalmente, sono per lo più preoccupato che il sistema riveli l ' ID di registrazione degli studenti.

Non so come vanno le cose alla tua università, ma quando ero studente, scrivevamo il RI sui fogli delle risposte degli esami in modo che i selezionatori non sapessero chi era chi.

Nella tua università, gli alunni possono cercare chi è chi e questa è, a mio parere, una grave violazione della sicurezza.

I docenti possono comunque cercare gli ID di registrazione - in qualsiasi università in cui ho lavorato e sono sicuro che in qualsiasi altro posto.In quale altro modo i voti sarebbero associati allo studente giusto?Il punto è che, durante la valutazione, non sanno a chi corrisponde il numero, per ridurre i pregiudizi inconsci.
#7
+3
Tim X
2017-01-06 08:46:12 UTC
view on stackexchange narkive permalink

Se le informazioni sui voti degli studenti possono identificare personalmente un individuo, questo è quasi certamente un problema. Se, d'altra parte, tutto ciò che puoi vedere sono i gradi associati a un individuo sconosciuto, ovvero associati a un numero, ma non puoi determinare con precisione chi rappresenta quel numero, allora potrebbe non essere considerato un problema di sicurezza in quanto si potrebbe sostenere che i dati siano stati anonimizzati . Molto dipende dalla legislazione sulla privacy in vigore (molto probabilmente la legislazione del Regno Unito, ma questo può essere influenzato dal paese in cui sono ospitati / localizzati i dati e dalle politiche sulla privacy dell'istituto. Ad esempio, agli studenti potrebbe essere richiesto di accettare di consentire il loro risultato i dati vengono resi pubblici come parte dei termini e delle condizioni di registrazione. Tuttavia, ciò è improbabile.

La maggior parte dei paesi ha una legislazione sulla privacy che determina ciò che è considerato come informazione privata o personale e, in alcuni casi, impone responsabilità aggiuntive all'hosting organizzazione in relazione al livello di autorizzazione che deve ottenere dall'individuo per rendere pubblici i dati e quali azioni deve intraprendere nel caso in cui i dati vengano divulgati accidentalmente o violati a causa di una sorta di guasto alla sicurezza. Ad esempio, negli Stati Uniti, se un'azienda ha un incidente in cui i dati personali sono intenzionalmente o accidentalmente compromessi e che i dati hanno possibili implicazioni finanziarie, come l'esposizione dei dettagli della carta di credito, il l'organizzazione è tenuta a fornire servizi di monitoraggio del credito alle persone colpite per un periodo di tempo. Alcuni paesi hanno anche una legislazione obbligatoria in materia di segnalazione e notifica delle violazioni dei dati, che richiede all'organizzazione di informare le persone e spesso un'autorità centrale quando i dati sono stati compromessi.

Sfortunatamente, i governi hanno faticato a sviluppare una legislazione chiara e coerente relativa alla privacy e a mantenerla. legislazione in grado di tenere il passo con la tecnologia. Esistono differenze significative tra i paesi con diversi accenti e obiettivi. Ad esempio, gli Stati Uniti hanno notevoli politiche in materia di privacy e segnalazione obbligatoria, ma hanno anche una legislazione relativa alla sicurezza nazionale e all'antiterrorismo che alcuni ritengono comprometta la riservatezza dei dati personali. La Germania e una serie di altri paesi europei hanno una legislazione vigorosa per proteggere la privacy personale. L'Australia ha aggiornato relativamente di recente la legislazione sulla privacy personale, ma sta lottando per introdurre una legislazione obbligatoria sulla segnalazione delle violazioni dei dati, ecc.

Dalla tua descrizione, sospetto che tu abbia effettivamente scoperto una vulnerabilità all'accesso ai dati e dovresti quasi certamente segnalarla all'Università. Purtroppo non è sempre facile scoprire come segnalare tali problemi. Il primo posto da controllare sarebbe esaminare la politica sulla privacy dell'organizzazione. È anche probabile che il Regno Unito abbia un'autorità centrale, come un difensore civico per la privacy, a cui potresti anche segnalare il problema.

Dovresti anche essere consapevole che devi prestare molta attenzione all'accesso a questi dati, soprattutto utilizzando la tecnica di manipolazione dell'URL che hai descritto o che fornisci dettagli specifici su come accedere ai dati. In alcuni paesi, si potrebbe sostenere che hai infranto la legge e che potresti essere accusato di "hacking". Il ritmo del cambiamento tecnico, combinato con una mancanza di comprensione all'interno dei sistemi legislativo e giudiziario, ha portato a una legislazione e ad un'interpretazione giuridica mal redatta. Ci sono stati diversi casi in cui le persone sono state accusate di pubblicizzare le vulnerabilità di accesso ai dati. Sebbene tali accuse di solito non si traducano in una condanna, è meglio evitare i potenziali problemi che questo tipo di accusa comporta.

#8
+3
user135650
2017-01-08 16:25:02 UTC
view on stackexchange narkive permalink

Infatti. Soprattutto se l'università accetta di mantenere private tali informazioni, questa potrebbe essere un'enorme violazione delle proprie politiche.

#9
+2
iyrin
2017-01-06 14:44:24 UTC
view on stackexchange narkive permalink

Negli Stati Uniti, scrivere semplicemente un semplice script che raccolga tali informazioni può farti ottenere una condanna a 3,5 anni. Se l'università non intendeva rendere pubbliche queste informazioni, verrà considerata una vulnerabilità.

+1 Questa era la risposta a cui stavo pensando.A volte, accedendo semplicemente a un sistema "protetto" per vedere i dati privati di qualcun altro, non importa quanto debole possa essere la sicurezza, c'è sempre il rischio che l'hacker venga multato, incarcerato o entrambe le cose.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...