Wyszukiwarki studentów, publiczna lista usterek i niebezpieczne punkty ksero, czyli uczelnianych wpadek cz. IV

Opisywanie wpadek bezpieczeństwa na uczelniach wyższych to już nasza tradycja. W poprzednich trzech odcinkach pisaliśmy m.in. o wyciekach CV studentów i niedociągnięciach systemów bubliotecznychujawnianiu dokumentów z PESEL-ami oraz o koparkach kryptowalut na stronach uczelni. To wszystko było okraszone drobniejszymi klasycznymi wpadkami w stylu “brak BCC” albo “głębokie ukrycie”.

Kontynuujemy cykl i od razu ujawniamy, że w tym odcinku mamy przypadki dotyczące następujących uczelni:

  • Akademia Górniczo-Hutnicza w Krakowie (po raz czwarty w naszym cyklu :)),
  • Politechnika Warszawska (również po raz czwarty!),
  • Politechnika Wrocławska (po raz drugi!),
  • Uniwersytet Ślaski w Katowicach (po raz trzeci!),
  • Politechnika Śląska (po raz drugi)
  • Akademii Morska w Gdyni,
  • Uniwersytet Mikołaja Kopernika w Toruniu,
  • Uniwersytet Ekonomiczny w Katowicach,
  • Uniwersytet Ekonomiczny we Wrocławiu.

Poza tym wspomnimy o wątpliwości co do komputerów w punkcie ksero Wyższej Szkoły Informatyki i Zarządzania w Rzeszowie. Wrócimy też do tematu studniówek i powzdychamy do Ministerstwa Sprawiedliwości za ciągłe ignorowanie problemu bezpieczeństwa osób zdających egzamin adwokacki czy radcowski.

Zaczynamy.

Akademia Górniczo-Hutnicza i wyszukiwarki oraz pliki z hasłami

Ciągle powracającym problemem jest uruchamianie przez uczelnie różnych wyszukiwarek studentów. Na stronie wydziału geologii AGH w Krakowie znalazł się interesujący formularz.

Czytelnik, który powiadomił nas o tej wyszukiwarce, znalazł również publicznie dostępny plik PDF z nazwiskami i numerami PESEL 147 osób, którym przyznano lub nie przyznano miejsc w domu akademickim. Dokument zawierał także imię ojca, informacje o dochodzie na osobę oraz o złożeniu wniosku o stypendium socjalne.

Ostatnią z ciekawostek wypatrzonych na serwerze AGH był plik o niepokojącej nazwie passwd.txt. Zawierał ponad 2,4 tys. wierszy takich jak te.

Wszystko co tutaj opisaliśmy zostało usunięte kilka godzin po tym, jak zgłosiliśmy sprawę AGH. Myśleliśmy, ze to będzie koniec, ale potem nasz Czytelnik wyszperał coś takiego.

 

Ten plik akurat to nie był żaden wyciek. Pensje były zbyt wysokie, a nazwisk nie udało się skojarzyć z pracownikami uczelni. Biuro prasowe AGH szybko zapewniło nas, że to prawdopodobnie plik stworzony na potrzeby jakichś zajęć.

Politechnika Warszawska – wyszukiwarka studentów

Na pewnej stronie ciągle znajduje fajna wyszukiwarka studentów PW. Wystarczy wpisać kilka znaków, aby znaleźć nazwiska zawierające dany łańcuch.

Kliknięcie na wynik wyszukiwania wyświetla informacje o przedmiotach, na które dany student jest zapisany.

Narzędzie interesujące, ale jednak niebezpieczne (przynajmniej naszym zdaniem). Adres, na którym wyszukiwarka ciągle jest dostępna, nie należy do uczelni. Autor wyszukiwarki udostępnił skrypt na Githubie i po jego pobieżnym przejrzeniu można było ustalić, że pobiera on dane z systemu ERES2 udostępnianego przez samą Politechnikę. Dane z systemu można było przeglądać także bez skryptu, posługując się zwykłą przeglądarką. Obecnie system nie udostępnia tak wielu danych jak wcześniej.

Do autora skryptu trudno mieć pretensje skoro stworzył jedynie narzędzie ułatwiające przeglądanie publicznie dostępnych informacji. Tylko co na to uczelnia, która udostępniła nazwiska z numerami albumów? Już nie raz pisaliśmy, że udostępnianie tak zorganizowanych danych może być niebezpieczne.

Zgłosiliśmy sprawę Politechnice. Rzeczniczka PW Izabela Koptoń-Ryniec po 6 dniach poinformowała nas, że “dostęp do numerów albumów i zajęć studentów został zablokowany”, a ponadto “ogólnodostępność danych w systemie ERES zakwalifikowano jako incydent bezpieczeństwa”.

W odniesieniu do stron pozostających poza domeną uczelni tj. pw.edu.pl, Politechnika Warszawska nie jest ich administratorem, w związku z czym nie ma możliwości edycji danych na tych stronach zawartych.
Jednocześnie administratorzy stron pozostających w domenie pw.edu.pl zostali poinformowani o odpowiedzialności z tytułu publikowania danych osobowych.
W najbliższym czasie zostanie również przygotowana informacja na potrzeby poszczególnych Wydziałów Politechniki Warszawskiej, o tym jakie dane mogą być publikowane na ogólnodostępnych stronach uczelni.

Politechnika Śląska – zmiana ocen była możliwa

Jeden z naszych Czytelników – Grzegorz – niegdyś związany z Politechniką Śląską, odnalazł na pulpicie stacji roboczej w sali laboratoryjnej plik o nazwie lab_pro_lite. Domyślił się, że była to wersja systemu  LabPro z roku 2006 (Lab Pro to internetowy katalog do zajęć laboratoryjnych). Grzegorz nie wiedział, czy była to wersja wykorzystywana jako robocza wersja dla studentów, czy jako materiał dydaktyczny. Prosta analiza struktury katalogów dała jednak wiedzę o tym gdzie znajdują się backupy bazy danych.

Grzegorz zauważył, że dane dostępowe na konta administracji nie różnią się pomiędzy zrzutem bazy z 2014 roku a tym z 2018. Ustalił, że można uzyskać dostęp do systemu oceniania, danych personalnych, zmiany ocen. Nie wykorzystał tego dostępu w złośliwy sposób, ale też nie był pewien czy i jak to zgłosić. Postanowił przekazać sprawę nam, a my skontaktowaliśmy się z Politechniką.

Po przeanalizowaniu sprawy rzecznik uczelni Paweł Doś przekazał nam następujące wyjaśnienie.

Wymieniona wersja i plik były użytkowane w wymienionej sali laboratoryjnej przez studentów wyłącznie w celach przykładowej instalacji i wypełnienia podstawowymi danymi prostego systemu wspomagania prowadzenia elektronicznego katalogu zajęć laboratoryjnych, jakim jest oprogramowanie Labpro. Oczywiście wymieniony plik nie powinien pozostać na pulpicie żadnego komputera po zakończeniu wymienionych zajęć, ponieważ stwarzało to m.in. zagrożenie wykorzystania jego zawartości w sposób zasygnalizowany przez Państwa. Zawartość komputerów w salach laboratoryjnych jest cyklicznie odtwarzana do stanu początkowego, obsługa wymienionych sal laboratoryjnych zwiększyła częstotliwość takiego odtwarzania i wprowadziła dodatkowe ograniczenia.

Uczelnia przekazała nam jeszcze dodatkowe informacje o skali problemu i podjętych działaniach.

a) zasady sporządzania backupu systemu Labpro zostały zmienione, na wymienionym serwerze nie są aktualnie sporządzane i przechowywane kopie zapasowe systemu;
b) wszystkie hasła dostępowe zostały zmienione, zarówno tzw. administratorów, jak i kilkunastu nauczycieli, którzy korzystają z systemu, oraz studentów, którzy za pomocą systemu komunikują się z nauczycielami;
c) system Labpro jest systemem o niewielkim zasięgu, jest wykorzystywany w jednej jednostce wewnętrznej Politechniki Śląskiej, obecnie przez kilkunastu nauczycieli akademickich; w systemie są stosowane sztywne reguły tworzenia dedykowanych loginów oraz hasła niepowiązane z innymi systemami Uczelni, co zdecydowanie ogranicza możliwość wykorzystania ew. ujawnionych danych;
d) system Labpro ma charakter narzędzia wspierającego komunikację pomiędzy nauczycielem pracującym z sekcją laboratoryjną i studentami z takiej sekcji – wystawiania ocen cząstkowych za poszczególne zadania, przesyłania raportów i informacji zwrotnych; do wprowadzania przez nauczycieli akademickich ocen dokumentujących formalnie zaliczenie wszelkich form zajęć dydaktycznych na Politechnice Śląskiej służą inne systemy, w szczególności  System Obsługi Toku Studiów  z modułem EKOS (Elektroniczny Katalog Ocen Studenta) oraz Platforma Zdalnej Edukacji;
e) żaden z nauczycieli akademickich nie zgłosił niepoprawności we wprowadzonych w systemie Labpro ocenach i przesłanych sprawozdaniach; system dokumentuje wewnętrznie każde logowanie i opatruje wszystkie wprowadzane oceny i sprawozdania znacznikiem czasowym; przegląd tych logów i logów serwera nie wykazał niepoprawności we wprowadzaniu danych do systemu (oprócz nietypowych aktywności związanych z dostępem do folderu backups w roku 2014 i 2018);
f) w systemie w odniesieniu do studentów są wykorzystywane mimimalne dane: imię, nazwisko, dane związane z logowaniem i przynależność do grupy studenckiej; ograniczono elementy funkcjonalności systemu Labpro, które nie były intensywnie wykorzystywane, a które są udostępniane przez inne systemy uczelni, m.in. Platformę Zdalnej Edukacji; w szczególności ograniczono dostęp do materiałów pomocniczych do domeny Politechniki.

źródło: niebezpiecznik.pl

 

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *