10:45
3/1/2011

Jak pisze jeden z naszych czytelników, student PWr: “przed weekendem pojawił się polski odpowiednik serwisu FaceMash [tak nazywał się prototyp Facebooka stworzony przez Zuckerberga]. Politechnika Wrocławska ma tak dziurawy JSOS (Jednolity System Obslugi Studentow), że dane osobowe latają luzem po internecie”.

FaceMash PWr

Wystarczy zarejestrować się na www.facemashpwr.pl, aby pooglądać twarze studentek — wyciągane na bieżąco dane z bazy PWr i przentowane w formie ‘która z nich jest bardziej hot’.

FaceMash z PWr (Politechnika Wrocławska)

FaceMash z PWr (Politechnika Wrocławska) -- oczy zakryte przez nas.

Tym, którzy nie znają historii Facebooka lub nie widzieli filmu The Social Network przypominamy, że to właśnie od takiego serwisu zaczął Mark Zuckerberg, założyciel Facebooka. Obawiamy się jednak, że w polskiej rzeczywistości, wrocławscy studenci raczej oberwą za swojego FaceMasha i raczej nie narodzi się z niego drugi Facebook…

FaceMash — jak chronić swój wizerunek?

Studentom PWr przypominamy, że młodsze roczniki mogą zmienić zdjęcie w systemie JSOS. Niektórzy już wpadli na ten pomysł:

FaceMash PWr (Politechnika Wrocławska)

Zhackowany FaceMash z PWr :-) -- oczy zakryte przez nas.

Dodatkowo, Panowie studenci, wasz wizerunek też jest zagrożony, jeśli wasze imię kończy się na “a” lub jesteście szczęśliwcami, którym zrobiono błąd w PESEL-u (tam zakodowana jest płeć).

P.S. Programistów odpowiedzialnych za tworzenie projektu JSOS zapraszamy na nasze szkolenie z bezpieczeństwa aplikacji webowych — gwarantujemy 23% zniżkę :-)

Przeczytaj także:


66 komentarzy

Dodaj komentarz
  1. http://prntscr.com/1d1j9 interesujące :)

  2. Nie znam regulaminu studiów na PW, ale wydaje mi się, że doszło tutaj do nadużycia i złamania prawa.

    • @K: myślę, że podobnie jak w przypadku Zuckeberga, jeśli dojdą do tych studentów, to ich co najmniej zawieszą. Zastanawiam się tylko, czy powyższy serwis zainspiruje inne społeczności studenckie w Polsce do podobnych projektów… bo że się da, to wiadomo od dawna.

  3. Mi strona leży:
    Internal Server Error

  4. @Piotr Konieczny: zawieszenie nie wyklucza powództwa cywilnego, np. z ochrony wizerunku.

  5. @K: jedna uwaga, nie PW tylko PWr… a to już wisi w necie conajmniej od nocy z 30 na 31.12… pierwsze zmianki to na forum wewnetrznym jednego z kierunków (no chyba, że gdzieś jeszcze wcześniej, ale to już jest gdzieś ukryte), potem poszło na FB. To mi się udało ustalić, bo sama domena wisi dłużej.

    Co do strony, obstawiam, że PWr się postara, żeby przed środą to znikneło z internetu,albo chociaż przestało działać. Ale… sesja sie zbliża, a studenci, ktorzy koncza teraz studia mają znowu egzaminy… bedzie sie dziac!

  6. aaa tam, zdjęcia. na Wojskowej Akademii Technicznej są ciekawsze rzeczy do hackowania. na przykład ten supertajny szyfr oparty o kryptografię krzywych eliptycznych :P

  7. Ktoś za dużo naoglądał się filmu The Social Network ;] Mało oryginalny pomysł

  8. TOP10 by się przydał… :D

    A swoją drogą patrząc jak kumple się rejestrują i serwer co chwile pada za chwile będzie tam niezłą baza maili… :D

    • Przy okazji sprawdzicie odporność hostingu 1&1 na “niebezpiecznik effect” :>

  9. Coś kiepski ten serwer mają… ;)
    Ja czekam na dump bazy danych – takowy pewnie już powstał…

  10. Baza maili z PWR? @student.pwr.wroc.pl

    Poza tym klikam, klikam i ciągle żadnej ładnej…

  11. @Torwald: tak, dump bazy danych jest poza PWr już od jakiś 2 lat, tak się nieoficjalnie mówi ;)

  12. @Torwald o ile nas Piotr Konieczny nie okłamał to facemashpwr wyciąga zdjęcia na bieżąco więc ciężko będzie zrobić dumpa, no chyba że odpalimy jakiś skrypt który będzie co chwile odpytywał facemashpwr.pl i ładował zdjęcia w “bezpieczne” miejsce :)

  13. Ciekawe dlaczego w stopce znajduje sie link do Sygnity ;) czyzby ktos staral sie o prace?

  14. Teraz już wiem skąd te wszystkie żarty nt. studentek politechniki ;)

  15. @Cyberek: jesteś pewny, że to były tylko żarty? ; )

    Na pocieszenie Panowie powiem Wam, że idzie nowe. Więcej dziewczyn, przynajmniej na PP się kręci. I to nie zawsze takie “politechniczne” ; )

  16. Hah, już od dawna (min. 5 lat) na PWr jest jeszcze http://www.dydaktyka.pwr.wroc.pl/ :) Wchodzimy, i potem wpisujemy jakiś numer indeksu (6 cyfr) i kopiujemy dane :))) Można też na podstawie numeru indeksu w jakimś kalendarzu dla studentów wyciągnąć praktycznie wszystkie informacje, z planem zajęć (kiedyś się dało przynajmniej)

  17. 2 lata temu podobna wpadka zdarzyła się na Politechnice Gdańskiej.
    Poprzez wpisanie odpowiedniego URL można było obejrzeć zdjęcie osoby. Nazwa pliku zawierała pesel i nazwisko. Prosty program ściągnął kilkaset zdjęć. Osobie która zgłosiła lukę administracji odcięto internet w akademiku :)

    a no i na pomysł stworzenia facemasha nikt nie wpadł, ale wybory miss na forum oczywiście się odbyły :D

  18. no i już padło…. efekt niebezpiecznika – a w nocy tak ładnie działało… :)

  19. 2 lata temu, jak Politechnika Szczecińska łączyła się z Akademią Rolniczą w Zachodniopomorski Uniwersytet Technologiczny dostępne były w plikach pdf imiona i nazwiska wraz z nr PESEL 2300 ludzi z małym hakiem. Wynikło to z reorganizacji serwera. Można było w Google imię i nazwisko i znany był nr PESEL. Mam w domu kilka pism w związku z tą sprawą, między innymi przyznanie się do błędu przez rektora ;)

    Politechnika Poznańska rok temu, nie wiem jak w tym miała problem z certyfikatem, przez co dość sporo osób zraziło się do uczelni. Wynikało to z tego, iż PP sama sobie wystawiła certyfikat ; )

  20. Eee tam, PW w dalszym ciagu sama sobie certyfikaty wystawia :)

    https://sc.elka.pw.edu.pl/

  21. jakby tak całe SYGNITY przewaliło wam się przez szkolenie, to mielibyście terminy do 2020 zarezerwowane. ;)

  22. Pewnie musieliby po kilka razy być na szkoleniu :P

  23. Obawiam się, że tym partaczom nawet kilka szkoleń nie pomoże ;)

    • @Mlody: myślę, że szkolenia takie jak nasze pomagają, i to bardzo. Mamy pozytywny feedback od uczestników, którzy często podczas szkolenia, wybiegają z sali wykonać “pilny telefon”, bo od razu testują to o co pokazujemy w labie na swoich webaplikacjach… ;)

  24. Od dawna wiadomo że firma odpowiedzialna za system stworzyła bubel, za który PWr zapłaciła niemałe pieniądze, po częsci PWr sam sobie jest winien bo nie interesował się co za produkt dostanie. System jest toporny i powinien być napisany od nowa, niestety PWr podpisało dla siebie niekorzystną umowę i mają to co mają. Można gdybać jak to wyglądało, co ciekawe firma która tworzyła system przed połączeniem się z Sygnity także nieudolnie próbowała stworzyć JSOS. Co mięsiąc trzeba zmieniać hasła do systemu, dodatkowo nie mogą się powtarzać od ostatnich chyba 3, oraz muszą się hasła różnić kilkoma znakami. Jeśli liczyć 3 lata studiów trzeba stworzyć zestaw haseł :D Już wcześniej wyciekły dane z tego wspaniałego systemu który jest “marzeniem każdego studenta”

    Pozdrawiam student PWr

  25. swego czasu zgłosiłem do systemu rekrutacji pewnej uczelni dość głupi błąd – gdzie system drukowania potwierdzeń rejestracji (zawierajacy imie, nazwisko, pesele, adresy zamieszkania, adresy do korespondencji a nawet oceny z przedmiotow potrzebnych do rekrutacji) pdfdrukuj.php?userid=1234 pozwalał na dowolne zmienianie parametru userid bez weryfikacji czy ma sie do tego uprawnienia. Dla ciekawostki podam, że kazdy parametru userid był kolejną liczbą… a w momencie jak go zauwazyłem to liczba ta wynosiła 50000 z hakiem :)

  26. pierwsze moje wejście na facemash-a nastąpiło o 19:50 30 grudnia 2010. Od kiedy dokładnie jest w necie, nie wiem…

  27. “Jednolity System Obslugi Studentow”

    brak Ó :D

  28. Śmieszą mnie takie komentarze z “milionami” wydanymi na system. A ile wg. was powinien system o takiej skali kosztować ? Zatrudnić kilku studentów, którym po 3 miesiącach projektu się znudzi, wezmą zaliczkę i pójdą pić ? Większość pracodawców wie jak trudno znaleźć odpowiedzialnego! pracownika i ile kosztuje jego utrzymanie.
    Co do samej PWr to pod adresem dydaktyka.pwr.wroc.pl każdy może sobie uruchomić aplet, wpisać nr indeksu (numery kolejne) i pobrać komplet danych osobowych, ocen, deficytu. Nikt z tego nie robi problemu.

  29. @Piotr Konieczny: mam przeczucie, że Mlody odnosił się do starego powiedzenia, że świni nie nauczy się latać ; )

  30. Andrzej, a skąd wziełeś linka? z CoiJak ? tam się pojawił godzinę wcześniej niż na facebooku.. Sama domena w necie wisi już od 9 grudnia.

  31. No właśnie sęk w tym, że Sygnity składało się – jeszcze całkiem niedawno – w głównej mierze ze studentów wydziału elektroniki oraz informatyki i zarządzania. Brak doświadczenia zawodowego, łapanka klepaczy kodu dała efekt taki, jaki obecnie widzimy. Nie tylko my – studenci [swoją droga, na wykładach prowadzący posiłkują się przykładami z edukacji <> jak NIE pisać kodu/tworzyć systemów informatycznych; głośna też była sprawa, gdy jeden z bardziej łebskich dr uzyskał wszystkie dane z ww. systemu, łącznie z hasłem JM Rektora mejlowym ;-)], ale i Wy – internauci, nie związani z Politechniką Wrocławską.

    Generalnie, dość śmieszny temat – owa cała szumna edukacja.cl oraz f-ma Sygnity ;-)

  32. No chyba szybciej zdjęli stronę, bo teraz widnieje tam tylko cytat i podpis. Pytanie tylko, czy to przez zarząd polibudy, czy przez przeciążenia serwera tak zrobili?

  33. Polibuda zablokowała wywołania z tego serwisu. Sprawa jeszcze nie jest zgłoszona na policje wg relacji gazety Wrocławskiej, na stronie której ukazał się artykuł. A na stronie pwr… żadnego oświadczenia, na stronie sygnity też.

  34. @Lukasz: osobiście polecałbym pozew zbiorowy za naruszenie wizerunku. To od strony Pań. Ze strony politechniki stosowne artykuły o ochronie informacji.

  35. Nie sądziłem, że coś dotyczącego mojej uczelni pojawi się kiedykolwiek na niebezpieczniku, a tu takie kwiatki. Szokiem trochę jest, że strona wisiła podobno od 30 grudnia 2010 r., a dopiero dziś 3 stycznia 2011 r. jak wszyscy wrócili do roboty na uczelni zostały podjęte kroki i zablokowana.
    teraz widnieje na stronie tylko cytat…
    “Those curious and brave
    shall pass the tall gate,
    but there is no choice,
    nor there is fate.
    For those who never try
    do never know
    and those who don’t care
    wont be cared about at all…”

    With thanks and apologies,
    TheFcreator

  36. z tego co mi wiadomo (autopsja) studenci nie mogą zmienić swojego zdjęcia w edukacji :) No chyba że dostałem jakieś konto demo ;)

  37. Oczy z czarną przepaską robi się bandytom. Powinieneś zrobić “pikselozę” w tym miejscu. Obrażasz w tym momencie osoby na tych zdjęciach. Takie jest Polskie prawo.

    • @Peter77: a jak zmienimy na różowe, to będzie OK? :>

      @trinh: Co do zmiany zdjęć — to jak ta Pani — 2-gie zdjęcie w poście, dopisała sobie ramkę? :>

  38. znajdź mi imię męskie kończące się na a….

    • @lol: Luca, ty niemyślący międzynarodowo Polaku ;)

  39. http://www.abw.gov.pl/dokumenty/zalaczniki/1-311.jpg

    Można też sprayem ;)

  40. @lol
    Kosma

  41. Jarema bardziej znane.

  42. Co to znaczy “oberwią”? ;)

  43. Trinh, dziewczyna Bartka może zmieniać, ja wogóle fotki tam nie mam (rekrutowałem się jeszcze za czasów analogowego systemu), niektórzy nie mogą zmieniać. Pewnie trzeba mieć lepsze oceny :D

    Trinh, wiesz gdzie szukać więcej info o tym, pytaj Marlenkę ;)

    W komentarzach Gazety WrocławskiejMMWrocła ktoś napisał sensowną opinię o tym jak to działało. Bo sam artykuł tam to jedno wielkie nieporozumienie.

  44. @lol: Kuba ?

  45. jaka Marlenke? czy ona cos wiecej wie na ten temat? zalozyla ta strone?

  46. Śmieszne są te wszystkie wypowiedzi “ekspertów” (czyt. studentów) dot. systemu Edukacja.CL – zwłaszcza tego ile kosztował i co z niego wyciekło. Jakoś nie wydaje mi się, żeby na zajęciach wykładowca opowiadał, albo w materiałach promocyjnych PWr było napisane “Mamy system za milion pińćset dwa dziewińścet euro”. Idąc dalej – z tego co pamiętam “wyciek” było to niby “hasło rektora w XMLu”. Szkoda czasu na dłuższe rozpisywanie się na temat, ale do dzisiaj nikt tych haseł nie widział, a nawet jeśli wyciekło hasło JMR to każdy średnio rozgarnięty admin wie że CEO w firmie, a JMR na takiej PWr to nie jest konto o najwyższych uprawnieniach w systemie.
    Jeśli chodzi o to, że “co miesiąc trzeba zmieniać hasła do systemu” to to ma być wada systemu? W dobrych środowiskach korporacyjnych opartych o AD widziałem bardziej restrykcyjne polityki dot. haseł i jakoś nikt nie mówił że AD jest źle napisana. Poza tym jak ktoś ma problemy z pamiętaniem hasła to akurat tutaj można sobie robić hasła typu haslo1haslo, haslo2haslo, haslo3haslo itd.
    A co do samej akcji z facemashpwr to w podobny sposób można zdjęcia np. z nk.pl pobrać (również bez zalogowania) – wystarczy znać URL. I myślę, że nie tylko na nk.pl można takie coś zrobić.

  47. @lol: Bonawentura

  48. koleżanka @zdjęcie_w_artykule, która zmieniała foto w ogóle nie jest na PWr. Jedynie przystąpiła do rekrutacji na sem 2010/2011 i z tego co mi mówiła mogła bez problemu je zmienić. Myślę, ze “świeżaki” dostali opcję zmiany zdjęcia (po update’cie edukacji.cl), my studenci wcześniejszych roczników takiego luksusu nie mamy…

  49. czekam na ekranizacje tego wydarzenia.

  50. A co jest zlego w wystawianiu samemu sobie certyfikatu przez uczelnię?

  51. wiem czytałem ;) czekamy na więcej szamba, w sumie smsy też do mnie nie przychodziły, faktycznie jakieś lipne konto z ograniczeniami…

  52. Co do edukacji.cl na PWr – podpisanie umowy z Sygnity na edukację było ostatnią bardzo zresztą pospiesznie podjętą decyzją byłego JM Rektora, a że gościu był z wydziału chemicznego i niewiele wiedział na temat jakichkolwiek systemów informatycznych to to podpisał. Chodzą również na PWr słuchy że ktoś dostał za doprowadzenie do skutku tej umowy w łapę – ale nigdy nikomu nic nie udowodniono. Nieoficjalne dane na temat kwoty na jaką opiewała umowa to 40 mln PLN zawiera to również 3 letni support ze strony Sygnity.
    Co do dump-u bazy to mniej więcej miesiąc po wprowadzeniu edukacji na PWr dr.L z wydziału elektroniki mający jako jeden z dwóch jej pracowników oficjalne zezwolenie od JM Rektora na audyty wszelakich systemów informatycznych działających w obrębie PWr. Jak twierdził na jednym z wykładów zrobił takiego dump-a bez większych problemów zgrał na płyty przyniósł nowemu JM Rektorowi – który już trochę bardziej ogarniał sprawę i potem dopiero zaczęły się poprawki.

    Co do innych błędów na edukacji – system przy rejestracji nowych użytkowników podaje cały czas identyczną capche. Czyli przy kolejnym zapytaniu o capche dla danej sesji otrzymamy plik z tymi samymi literami (lekko przestawionymi) + siatka nałożona na litery o stałej szerokości i zaczynająca się zawsze w tym samym miejscu + “losowo rozrzucone piksele” zawsze w tym samym miejscu i zawsze te same. Żeby było śmieszniej wszystko poza literami jest o odcień jaśniejsze. Proste przekształcenia obrazu – filtry medianowe itp. i mamy plik z czystymi literami z którymi najprostszy program do OCR radzi sobie bezbłędnie. Było na Geek’s Night 1.0 http://www.asi.pwr.wroc.pl/geeks-night-2/geeks-night-1-0/

    Zanim PWr zdecydowała się na edukacje.cl na części wydziałów działał system MERCURY i żadnych problemów z nim nie było (praca magisterska 3-4 studentów) mimo iż system był już dosyć wiekowy.

  53. @A – to chyba dobrze, że tych haseł nikt nie widział? Widocznie osoba wykonująca audyt nie musiała radośnie wszystkiego wystawić w sieci jak Ass^Wwiadomo.

    Zaś im bardziej restrykcyjna polityka haseł, tym większa szansa, że zaczną być zapisywane fizycznie. Zwłaszcza, jeśli kreatywny admin zacznie wymyślać zasady haseł zbliżone do cat /dev/urand

    @Lukasz – znając uczelnie wyższe wszystko będzie zamiatane pod dywan, do czasu aż nie zrobi się o tym wystarczająco głośno w mediach. I to “zwykłych”, a nie specjalistycznych jak Niebezpiecznik. Wtedy może poleci na pokaz czyjaś głowa.

  54. Niebezpiecznik zderzył się właśnie z rzeczywistością… nikt z tych politechnik nigdy nie zdecyduje się na żadne szkolenia, bo to są PAŃSTWOWE instytucje, a one jak wiadomo, zarządzają CUDZĄ(czyli naszą) kasą. Gdyby musiały zarządzać swoją własną to zaraz by się znalazły środki na szkolenia bo inaczej a najlepszym wypadku uczelnia straciła by studentów lub splajtowała, a w najgorszym jej zarząd skończył by przed sadem za nie dopilnowanie ochrony danych. Państwowe uczelnie są jak święte krowy bo nikt nikogo nie ruszy za takie jawne lekceważenie danych osobowych. Mało tego sami studenci mają to w dupie. Jeśli “dorośli” studenci mają sami siebie w dupie, to jak ten kraj może być normalny?? Polactwo

    • LogikaPodpowiada: bredzisz, w poprzednim roku, dokładnie 6 uczestników naszych szkoleń zostało na nie wysłanych przez Uniwersytety/Politechniki.

  55. No i już się nie da. Przed chwilką wszedłem na stronkę i skrypt index.php nie istnieje :) jest już tylko index.html

  56. Jeśli chodzi o bezpieczeństwo danych studentów w bazach PWr to istnieje tam coś takiego jak Eportal, na którym to opiera się system elektronicznych kolokwiów. Jeżeli mamy tam konto, to możemy dowiedzieć się o swoich wynikach lub podglądnąć profil innych , wystarczy że w adresie stronki która nam te wyniki wyświetla [edited] i już widzimy kto jak pisał ekoła , a przy szukaniu użytkownika poznamy dane osobowe. Wystarczy curlem przelecieć i i mamy dane wszystkich zapisanych na poszczególne kursy.

  57. Co do zmiany zdjęcia na Edukacji to mogą to robić tylko nowo zarejestrowani użytkownicy, którzy nie zatwierdzili jeszcze wprowadzonych. Dane zatwierdza się przed końcem rekrutacji i potem nie można ich już zmieniać.

    To tak żeby skończyć ten temat.

  58. @LogikaPodpowiada
    PWR z tym systemem to chyba nie ma wiele wspólnego, bo administruje tym raczej Sygnity.
    @tidus
    Nadal działa coś takiego jak Octopus, tyle że do zapisów ogólnouczelnianych i na to też nikt nie narzeka. Edukacja pada przy każdym zapisach i przy każdej rekrutacji :(

  59. Na PWr jest system dawnego computerlanda za 13 mln złotych.
    JSOS to podobne do USOS :D
    Moje gratulacje.

  60. […] jakichkolwiek błędów w webaplikacjach do pobierania uczelnianych danych — wasi koledzy z Politechniki Wrocławskiej próbowali i dobrze się to nie skończyło, sprawa trafiła do […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: