15:28
25/4/2017

Otrzymujemy sygnały od studentów PWr, że ich loginy i hasła do kont na serwerze biblioteki są do przewidzenia. Przez to ktoś może zalogować się na konto studenta i pozyskać jego dane osobowe (nie mówiąc już o odcięciu go od korzystania z usług biblioteki).

Problem wynika z tego, że ktoś postanowił nadawać hasła do biblioteki wedle następującego wzoru:

Login: pwr[numerindeksu]
Hasło: pwr[numerindeksu]

…a jak zauważają nasi czytelnicy, numery indeksów aktywnych studentów są w przedziale od ~200000 do 250000, a konta “połączone z ogólnym kontem uczelnianym”. Co gorsze, żeby wytypować numer konkretnego studenta, nie trzeba “strzelać na ślepo”. Jak podpowiada jeden z czytelników:

Żeby było ciekawiej, książka na poczcie studenckiej umożliwia znalezienie dowolnego numeru indeksu po danych osobowych i na odwrót…

Co więc można zrobić po wejściu na czyjeś konto i czy zaboli to ofiarę? Otóż można zmienić e-mail oraz hasło (czyli odciąć studenta od biblioteki — i wiedzy!) a także zamawiać na jego konto książki (ale trzeba je odebrać osobiście, aby potem — myśląc z perspektywy złośliwego atakującego — ich nie oddać i spowodować przez PWr naliczenie kary finansowej).

Można także, jak informuje nas kolejny z czytelników,

“zobaczyć adres zamieszkania (zameldowania/korespondencji?) pod tym linkiem (…) klikając w (…)”

Od innego studenta otrzymaliśmy także zrzut ekranu, który pokazuje, że podobne dane znajdują się w kodzie jednego z modułów — nie są widoczne na stronie, ale można je odczytać z komentarza w HTML (prawie jak kiedyś w mBanku):

Do PWr wystosowaliśmy już pytania i czekamy na odpowiedź. Jeśli jesteście studentem tej uczelni, szybko zmieńcie swoje hasło, bo docierają do nas informacje, że sporo osób już zna ten błąd, więc istnieje niezerowe prawdopodobieństwo, że kilku dowcipnisiów już grasuje po przestrzeni kont… Studenci PWr zapewne umieją w skrypty.

Przy okazji przypominamy, że przewidywalnym hasłom poświęcony był premierowy odcinek naszego cyklu przygód hakera Janusza :)

Aktualizacja 26.04.2017, 16:00
Otrzymaliśmy odpowiedź od PWr:

Dziękuję za zgłoszenie do nas informacji o błędzie i przesyłam nasze odpowiedzi.

1. Jak długo ten błąd mógł funkcjonować? Dlaczego wystąpił?

Włączenie usługi PDS (https://aleph.bg.pwr.wroc.pl/pds) miało miejsce we wrześniu 2016 roku, związane było z uruchomieniem mechanizmu pojedynczego logowania (SSO) dla interfejsów użytkownika zintegrowanego systemu bibliotecznego ALEPH (https://aleph.bg.pwr.wroc.pl) oraz multiwyszukiwarki PRIMO (https://primo.bg.pwr.wroc.pl).

Opisany przez Państwa problem związany był z pulą kont jeszcze nieaktywowanych, pomimo tego, że zgodnie z założeniem logowanie do tych kont miało być niemożliwe. Na kontach już aktywowanych użytkownicy mieli obowiązek zmiany haseł.

Informacja o konieczności zmiany hasła znajduje się w Informatorze dla studentów, wydawanym co roku dla studentów pierwszego roku, jak i w tekście pomocy na stronie logowania. Ponadto pracownicy biblioteki regularnie przypominają o tym obowiązku.

Należy również pamiętać, że w przypadku kont nieaktywowanych wszelkie operacje (zamawianie, wypożyczanie itp.) nie były możliwe. Dla tych kont przyjęto założenie udostępnienia możliwości zmiany hasła.

2. Czy wcześniej ten błąd zgłaszano do PWr ?

Problem został nam zgłoszony przez użytkowników dopiero we wtorek około godziny 14. W momencie otrzymania informacji od Państwa trwała jego analiza.

3. Czy na stronie https://aleph.bg.pwr.wroc.pl/pds było na tyle dużo
wizyt, że można się martwić o dane studentów?

Po otrzymaniu informacji zablokowaliśmy natychmiast możliwość logowania do wcześniej wspomnianych systemów. Hasła na kontach podatnych na takie próby logowania zostały przez nas zmienione na losowe. Analiza logów usługi PDS przeprowadzona we współpracy z dostawcą oprogramowania nie wykazały masowych prób nieuprawnionego dostępu do systemu:

-Prób logowań (z wykorzystaniem ciągów numerów) – 330
-Udanych logowań – 35

Informujmy ponadto, że jesteśmy na końcowym etapie wdrożenia integracji
uwierzytelniania użytkowników do systemów bibliotecznych z mechanizmem SSO Politechniki Wrocławskiej. Przewidujemy uruchomienie tego rozwiązania w najbliższym czasie.

Pozdrawiam,
Andrzej Charytoniuk
Biuro Prasowe
Politechnika Wrocławska

Przeczytaj także:

53 komentarzy

Dodaj komentarz
  1. Geniósz!

  2. Na PWr są naliczane kary finansowe za nieoddane książki.

  3. Instrukcja pierwszego logowania nie pozostawia złudzeń ;)
    https://aleph.bg.pwr.wroc.pl/bgpwr/primo_help_id.html

  4. Są kary, 10gr/dzień/książkę. Co więcej nie da się odebrać dyplomu bez uregulowanej sytuacji finansowej w bibliotece.

    • To nalicza się w edukacji? Może to jest powód tego, że czasami dzień (dosłownie!) pred zapisami naliczali po ileś groszy za nic i było trzeba opłacić, bo jak nie to nie dało się zapisać na kursy…

  5. Po za tym przy odbieraniu książki, trzeba odbić swoja legitymacje, więc książki można tylko zamówić. Co więcej zamówione, a nie odebrane książki, blokują konto do wyjaśnienia. Tak było przynajmniej do 2014r;D.

  6. “Studenci PWr zapewne umieją w skrypty.” :)

    • Pewnie miało być “Studenci PWr zapewne umieją GRAĆ w skrypty, a nie je PISAĆ” :)

    • Jestem przekonany że miało być dokładnie tak jak jest. Konstrukcja może nie jest poprawna gramatycznie ale właśnie taka ma być, w publicystyce z powodzeniem funkcjonuje od lat.

  7. A niech se biorą w cholerę. Moje konto jest zupełnie puste xD

  8. Żeby było śmieszniej – jak zapomnisz hasło i pójdziesz do biblioteki by Ci zresetowali – to miła pani w bibliotece napisze Ci to Twoje zapomniane hasło na kartce… wniosek?

    • Kiedyś wszystkie wnioski z systemu aleph były przechowywane w formie papierowej oczywiście z hasłem w plaintext. Wiem bo sam widziałem swój wniosek :)

    • To że daje hasło to może też znaczyć że jest stosowane szyfrowanie a nie hasze. Ale sam fakt posiadania dostępu przez bibliotekarza do takich danych budzi wątpliwości.

  9. Chyba zafundowaliście stronie biblioteki PWr DDoS :D

  10. Co ciekawe legitymacje studenckie (przynajmniej kiedy jeszcze studiowałem) oparte są na kartach typu Mifare Classic – więc bez problemu można je sklonować, tak samo Wrocławski (i pewnie nie tylko Urban Card).

    W związku z tym jest prawdopodobne, że ktoś mógłby przejść weryfikację w bibliotece – posiadając sklonowaną legitymację kolegi.
    Nie mówiąc już o używaniu parkingu dostępnego tylko dla studentów albo używaniu jednego biletu miesięcznego na kilka osób ;)

    • Witam,
      To ze skopiujesz sobie csna karty nie oznacza ze skopiujesz zawartość kontenerów więc opcja z biletem odpada. Resztę można zrobić kopia karty wykonaną telefonem.

    • Klucze do sektorów da się odszyfrować już w prosty sposób, w Warszawie jest już na przykład znany i kompletny zestaw kluczy :)

  11. Wypożyczenie książek bez okazania legitymacji nie jest możliwe (przynajmniej kilka lat temu nie było). Miła pani z uśmiechem powie, że mamy spadać.

    Jeśli chodzi o wypożyczenie książek to najgorszą możliwością jest zamówienie pozycji i nieodebranie jej w terminie, co skutkuje blokadą konta (blokadę trzeba zdjąć osobiście w placówce biblioteki).

    Czyli poza ujawnieniem danych adresowych (mam nadzieję, że PESEL się uchował) tragedii nie ma.
    Oczywiście po co stosować aktywację konta, łatwiej dać konto domyślne…

  12. Zakres kont zaczyna się już od 17xxxx i nawet jeszcze są studenci 16xxxx i 15xxxx, którzy zawiesili studia na jakiś czas :)

  13. Wiele uczelni tak ma np politechnika białostocka.

  14. Na nieaktywowane konto nic nie można i tak wypożyczyć ani zamówić. Trzeba się i tak przejść do biblioteki z legitymacją i obiegówką by aktywowali konto.

  15. Biblioteka Wrocławska stosuje system login: pesel / hasło: pesel. Przynajmniej jak konto zakładałem to tak było.
    Natomiast w Spółdzielni Mieszkaniowej Piast pan administrator ma na swoim komputerze excela z hasłami użytkowników. Byłem, widziałem.

  16. Nie ogarniam. Mówi się – wręcz grzmi – że uczelnie wyższe od lat kształcą teoretycznie, w oderwaniu od realiów i potrzeb rynku. No to przecież PW właśnie funduje studentom to, co później będzie się za nimi ciągnęło przez całe życie – dziurawe systemy IT, ciągłe zagrożenie wycieku danych osobowych, groźba kradzieży tożsamości etc. Otóż przecież taki student PW już jako adolescent ma niepowtarzalną możliwość nabycia praktycznych umiejętności poruszania się w tym bezwzględnym świecie i radzenia sobie z wszechobecną pastą z celuli a la Wąsaty Janusz. W czym problem, się pytam?

    • Systemy piszą zewnętrzne firmy, w przetargach decyduje kryterium wiadome – najniższa cena, a to skutkuje systemami takimi a nie innymi. Nie byłoby to całkiem źle, gdyby w ramach jakiegoś koła utrzymywano wewnętrzne systemy (większość studentów i tak pracuje więc pewnie znaleźliby się ochotnicy którzy za darmochę by coś porobili) – problem tylko w tym, ze musi się znaleźć jakiś opiekun który weźmie za to odpowiedzialność.

    • I właśnie to jest największy ból. Systemy powinny być pisane przez ekipy badawcze danej uczelni, zgodnie z założoną koncepcją i najlepiej w jednej konwencji z pozostałymi systemami na danej uczelni. Inna sprawa, że “ekipy badawcze” często równają się z “pracami dyplomowymi”, ale tu już kwestia powinna być ogarniętego promotora :)

  17. Na PWr funkcjnuje to w ten sposób co najmniej od 2009 roku, kiedy przy pierwsyzch logowaniach radośnie logowało się również na konta kolegoów :). drugą opcją logowania do biblioteki jest PESEL/PESEL. Poza tym ten sam problem jest przy tworzeniu uczelnianych adresów mailowych – dostęp do skrzynek tez jest wedłu przewidywalnego hasła.

    • Nie prawda – hasła do kont mailowych są generowane losowo z uwzględnieniem minimalnych wymagań, administruje tym WCSS, a nie bezpośrednio PWr, a pracownicy PWr (pracujący z tematem) widzą jedynie imię, nazwisko i nr indeksu oraz ‘informacje techniczne’ o statusie konta i ewentualnych jego zmianach. Jednorazowa aktywacja konta przez studenta wymaga podania danych osobowych zgodnych z tymi zapisanymi w systemie uczelnianym (w tym np imion rodziców).

  18. Tak naprawdę nie jest to numer indeksu (patrz logowanie do edukacji.cl)

    • Akurat numer do logowania na edukacje i numer do logowania do biblioteki to są dwa różne numery

  19. Na PW dostęp do biblioteki uzyskuje się po złożeniu podania, w którym trzeba wpisać wnioskowane hasło do konta. Loginem jest numer legitymacji studenckiej.
    Trochę “low-tech approach to security”, ale przynajmniej zdaje egzamin :) A uczelnia też korzysta z Alepha, więc jak się chce, to się potrafi :)

  20. Na innej P zamiast Gierkowego podania o wpis; “Na PW dostęp do biblioteki uzyskuje się po złożeniu podania” dane do systemu bibliotecznego ładowane są automatycznie z systemu USOS. … więc to podanie to high-low-tech.

  21. Hasła o których mowa to z tego co pamiętam hasło przy zakładaniu konta i należy je zmienić. Ale z “ochroną” danych osobowych w książce adresowej na mailu, która wiąże imię, nazwisko i nr indeksu to rzeczywiście wtopa ;)

    • Za czasów jak ja studiowałem to nr indeksu (nawet powiązany z imieniem i nazwiskiem) nie był traktowany jak dane osobowe. Nie rozumiem o co ludziom chodzi? Jak masz jakąś nieruchomość to Twoje dane osobowe z PESELem włącznie są upubliczniane i jakoś nikt nie krzyczy. Jak sąsiad widzi czym jeździsz to też może powiązać numer rejestracyjny i VIN z konkretną osobą, a studenci się przejmują numerem indeksu w powiązaniu z imieniem i nazwiskiem. Niech mi ktoś wyjaśni dlaczego taki zestaw ma być traktowany jak dana osobowa? Numer indeksu to tylko numer porządkowy przypisany (zazwyczaj) do konkretnej osoby.

  22. Standardowe zachowanie uczelni :-) Politechnika Poznańska przez kilka lat działała w identyczny sposób. Teraz poszaleli i loginem jest PESEL, hasłem numer albumu (4 ostatnie cyfry) lub kodu paskowego (zwykle ten sam co numer albumu)

  23. Na PWr tak, trzeba aktywować konto w bibliotece. Ale okazuje się że jest to jedynie nadanie numerowi konta PESEL, a hasło to cośtam.
    Na każde, nawet nieaktywne konto można się było zalogować. :)

  24. Co to znaczy “Studenci PWr zapewne umieją w skrypty.”
    Jezyk polska trudna byc?

    • To żart taki, ale widać nie jesteś obeznany w internetach ;)

    • Nie umiesz w internety.

  25. System Aleph, z którego korzysta wiele bibliotek w kraju, z tego co wiem domyślnie przechowuje hasła w plaintexcie. Blokada konta polega za zmianie hasła. A właściwie wielu haseł, bo system dopuszcza stworzenie wielu loginów dla jednego użytkownika i indywidualnych haseł do każdego z nich.

  26. W związku z ostatnim zdaniem powinniście Państwo wstrzymać się z publikacją tego materiału, do czasu aż sytuacja nie zostanie wyjaśniona. Można wierzyć w w wysoką kulturę osobistą czytelników, ale warto też zachować środki ostrożności.
    Pozdrawiam

  27. ZUT w Szczecinie też wcale nie jest lepszy. Konto do AD było tworzone domyślnie dla wszystkich w następującej konfiguracji:
    Login: pierwsza litera imienia + nazwisko, np. mnowak
    Hasło: Pesel
    Mało tego, loginy studentów pierwszego roku są wywieszane na tablicy korkowej aby wiedzieli jak się zalogować.
    Jedyną trudnością może być pesel, ale bądźmy szczerzy, uzyskanie peselu kolegi z roku naprawdę nie stanowi problemu.
    Dzięki temu mamy dostęp do systemu, do swojego uczelnianego maila czy też swoich plików. Dużo więcej niż w przypadku biblioteki… A jedyna trudność to zdobyć czyjś pesel… Czyli niewiele zachodu.

  28. To jeszcze nic… Hasło jest w plaintext – zdarzyło mi się raz zapomnieć hasła, więc wybrałem się do biblioteki z zamiarem zmiany, a tu Pani bibliotekarka była uprzejma mi pokazać moje hasło.
    Ale to nic nadzwyczajnego na PWr, była już kontrola NIKu ws. systemu Edukacja.CL i… no nie powiedziałbym, że ich raport coś zmienił, poprawił, czy cokolwiek. Dalej funkcjonowanie systemów informatycznych sugeruje, że wszystko jest na łapu-capu.

    • I co takiego ten raport NIK-u wykazał?

  29. Hej Redakcjo,

    A od kiedy to się publikuje takie artykuły ZANIM pojawi się odpowiedź danej instytucji?
    Na miejscu każdego pokrzywdzonego studenta wystosowałbym odpowiednie roszczenia nie tylko w stronę uczelni ale także w waszą.

    Jakoś w przypadku podatności w instytucjach finansowych nie publikujecie exploitów przed reakcją firmy, a tutaj co?

    • Szkoły im nie płacą za ochronę 0day.

    • Przeciż ta możliwość zostałą już zablokowana :D

  30. Politechnika Rzeszowska katalog Aleph – czyli wypożyczanie, zarządzanie książkami itp (link: http://biblio.prz.edu.pl/, po lewej stronie odnośnik Aleph katalog online).

    Zalogowanie na konto studenta wymaga jeszcze mniej zaangażowania bo nie trzeba wpisywać skrótu uczelni przed indeksem tylko wystarczy sam numer indeksu w polu hasła i loginu.

    Mój Rzeszów, taki piękny :-)

  31. To i tak niewiele by dawało bo niektórzy prowadzący wysyłają razem z wynikami indeksy i nazwiska…

    • na mocy ochrony danych osobowych i regulaminu uczelni, dopuszczalne jest podawanie wyników na podstawie numeru indeksu :)

    • Nie widzę problemu. Jak się wstydzisz ocen, to postaraj się o lepsze.

  32. Politechnika Białostocka korzystająca z tego samego systemu wysłała maila informując o obowiązku zmiany hasła. Mamy na to czas do 8 mają, potem konto zostanie zablokowane i będzie trzeba udać się do biblioteki aby je odblokować. Cóż, widać siłę niebezpiecznika ;)

  33. “po przeprowadzeniu analizy ryzyka stwierdziliśmy, że mamy to w kokosie”; ja bym tylko na ich miejscu usunął dane adresowe z systemu.

  34. Przecież ta “dziura” w systemie PWr jest stara jak świat – studiując na W4 miałem numer indeksu zaczynający się od 15, i również można było wyczyniać wszystko co tutaj jest opisywane ;)

    No, ale cóż – PWr nigdy nie była na bieżąco z aktualnym, szeroko rozumianym, IT.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: