10:12
20/6/2018

Końcówka roku szkolnego to czas matur i egzaminów gimnazjalnych. Do akcji wkraczają Okręgowe Komisje Egzaminacyjne, które przetwarzają dane osobowe i tworzą serwisy ułatwiające życie uczniom i nauczycielom. Niestety te serwisy nie przeszłyby pomyślnie wszystkich prób związanych z bezpieczeństwem danych, a w roku wdrożenia RODO wydaje się to szczególnie istotne.

Logowanie przez PESEL (bez hasła)

Nauczyciel z pewnej szkoły średniej, który jest również naszym Czytelnikiem, został poproszony o asystowanie przy egzaminie. Wymagało to uzupełnienia pewnego formularza na stronie OKE Jaworzno. Dostęp do formularza odbywał się w nietypowy sposób.

Jakie było moje zdziwienie, że do zalogowania się wystarczy PESEL. I tylko PESEL.

zrzut z ekranu

Po wpisaniu numeru PESEL uzyskiwało się dostęp do danych nauczyciela wraz z jego oświadczeniem dla celów podatkowych. Wątpimy, by ktoś użył tego serwisu aby złożyć w imieniu nauczyciela fałszywe oświadczenie. Istotniejsze było to, że ktokolwiek znający PESEL nauczyciela mógł się zalogować aby zdobyć dostęp do jego danych. Dane osobowe właściwie nie zostały zabezpieczone. Po prostu system udostępniał je każdemu kto podał PESEL. Domyślaliśmy się, że ten dostęp jest możliwy tylko w określonym czasie przed egzaminami, ale powinno być jeszcze hasło.

“System znajdował się w fazie przejściowej”

Spytaliśmy o to Okręgową Komisję Egzaminacyjną w Jaworznie. Starszy specjalista Maciej Retyk przyznał, że…

Stosowane dotychczas zabezpieczenie jak na dzisiejsze czasy było zbyt słabym zabezpieczeniem (poza samym numerem PESEL ograniczeniem był jeszcze czas trwania sesji egzaminacyjnej poza którym dostęp był niemożliwy).

Dlatego też wszystkie nasze systemy służące do zbierania oświadczeń do umów (poza podanym przez Pana przykładem systemów dla osób pracujących przy egzaminie zawodowym, funkcjonują jeszcze trzy podobne przeznaczone dla osób zatrudnionych przy szkoleniach oraz pozostałych typach egzaminów) sukcesywnie dostawały nowe zabezpieczenia.

W momencie otrzymania do Pana wiadomości serwis zawodowy znajdował się w fazie przejściowej między nowymi zabezpieczeniami a starymi jak i wdrożeniem RODO. Działo się tak, ponieważ wprowadzanie radykalnych zmian w trakcie trwania sesji egzaminacyjnej zawsze budziło dużo emocji w śród osób z nami współpracujących i chcieliśmy je wprowadzać stopniowo.

Teraz będzie istotny fragment.

Dotychczas zgłaszane do nas pretensje zazwyczaj dotyczyły nadmiernego dbania o bezpieczeństwo i wymagania podawania haseł czy przepisywania kodów autoryzacyjnych z sms’ów. Nie zgłosił się natomiast do nas nikt pytaniem dlaczego zabezpieczenia są na niskim poziomie.

Niestety… ludzie mają skłonność do przejmowania się chwilowymi niedogodnościami z jednoczesnym lekceważeniem problemów, które mogą zdarzyć się kiedyś w przyszłości.

“Stopniowe wprowadzanie zabezpieczeń” brzmi znajomo i poniekąd rozumiemy w czym problem. Mamy nadzieję, że ten artykuł pomoże OKE w szybszym wprowadzaniu zmian. Jeśli ktoś zacznie zgłaszać pretensje to od dziś OKE może temu komuś pokazać ten tekst i powiedzieć “musieliśmy to wprowadzić, bo Niebezpiecznik nas wytknął” :).

Jedno hasło na wiele lat

Teraz przejdziemy do historii nieco starszej, niemniej ciekawej i też dotyczącej OKE. W kwietniu 2017 roku jeden z Czytelników zgłosił nam, że dostrzega problem w zabezpieczeniu dostępu do serwisu z wynikami egzaminów.

W sekretariacie odbieramy loginy i hasła do owej strony, ale co ciekawe nigdy się nie zmieniają, co za tym idzie ktoś zdobywając moje hasło np. w szkole gimnazjalnej ma dostęp do moich danych osobowych + wszystkich ważnych egzaminów oświatowych.

To ciekawy problem. W przypadku Czytelnika zgłaszającego sprawę jego login i hasło nie zmieniły się “od 4 lat, czyli od czasów gimnazjum“. Zaczęliśmy się zastanawiać, czy takie gromadzenie danych o wynikach egzaminów w ogóle jest konieczne? Rozumiemy, że można użyć internetu do informowania o osiągnięciach, ale tworzenie indywidualnego konta z ciągłym dostępem do “historii edukacyjnej” może budzić pewne wątpliwości, szczególnie jeśli login i hasło nie zmienia się tak długo.

Poprosiliśmy Czytelnika o zrzuty z ekranu, aby dowiedzieć się co można zobaczyć po zalogowaniu.

zrzut z ekranu

zrzut z ekranu

Imię, nazwisko, wyniki, nawet informacja o dysleksji! Zapewne każdy czułby się bezpieczniej gdyby hasło do takiego konta było zmieniane. Zwróciliśmy się z tą sprawą do Okręgowej Komisji Egzaminacyjnej w Gdańsku.

“Poprawimy to”

Krótko po zadaniu pytań odpowiedziała nam wicedyrektor komisji Irena Kulesz.

Szanowny Panie

dziękujemy za przekazanie zastrzeżeń dotyczących naszego serwisu wyniki.oke.gda.pl kierowanych do Państwa redakcji.

Od momentu powstania do dnia dzisiejszego nie wpłynęły do Okręgowej Komisji Egzaminacyjnej w Gdańsku skargi czy uwagi dotyczące działania i zawartości ww. strony, której jednym z celów jest także pomoc zdającym (zwłaszcza szkół ponadgimnazjalnych) w złożeniu poprawnej deklaracji przystąpienia do egzaminu oraz od ubiegłego roku sprawdzenie konieczności wniesienia opłaty za zdawane w sesji egzaminy.

Informujemy również, że każdy użytkownik serwisu wyniki.oke.gda.pl mógł wystąpić za pośrednictwem szkoły macierzystej o zmianę hasła dostępu lub zablokowanie konta.

W związku z przekazanymi zastrzeżeniami w dniu dzisiejszym usunęliśmy wszystkie dane archiwalne, a od następnej sesji egzaminacyjnej zmieniamy algorytm tworzenia haseł dostępu.

Byliśmy pozytywnie zaskoczeni. Komisja właściwie mogła poprzestać na wyjaśnieniu, że był sposób na zmianę hasła. Mimo to uznała, że można i trzeba zrobić trochę więcej.

Podglądanie czyichś prac jest proste

Mieliśmy tez inne zgłoszenia dotyczące Okręgowych Komisji Egzaminacyjnych. Dotyczyły one m.in. używania PESEL-u w charakterze danej dostępowej. Szczególnie ciekawa była ta historia Czytelnika.

Po czerwcowych wynikach chciałem mieć wgląd w swoją pracę. Procedura wyglądała następująco:
– składamy wniosek do Okręgowej Komisji Egzaminacyjnej (tu: OKE Wrocław)
– otrzymujemy zaproszenie na wizytę do OKE
– po wylegitymowaniu się zostajemy wpuszczeni do sali komputerowej
– siadamy przy wolnym komputerze i logujemy się peselem do systemu.
Tam mamy wgląd w PDFy swoich prac

Z ciekawości spróbowałem kilka peseli (trochę mi to zajęło) i udało mi się uzyskać dostęp do czyiś prac.

Spytaliśmy OKE Wrocław o tę sprawę. Dowiedzieliśmy się, że istotnie w 2015 r. OKE we Wrocławiu stosowała elektroniczny system wglądu do prac egzaminacyjnych zbudowany w oparciu o odseparowane repozytorium prac zdających, którzy złożyli wnioski o wgląd, zawierające wyłącznie skany tych arkuszy egzaminacyjnych. Pierwsza wersja systemu faktycznie zakładała wyszukiwanie skanów poprzez PESEL zdającego. Co wazne, dostępu do skanów nie dawał jakiś dowolny PESEL, ani jakikolwiek PESEL maturzysty zdającego egzamin w 2015 r. roku, ale tylko i wyłącznie PESEL tego maturzysty, który zdawał egzaminy w 2015 r. i złożył wniosek o wgląd do arkuszy egzaminacyjnych.

Mimo wszystko jednak zagrożenie wglądu do nie swojej pracy istniało, co szybko zauważyliśmy. System został zmodyfikowany i uzupełniony, login dla konkretnego maturzysty był wprowadzany przez pracownika OKE i nie było możliwości późniejszej zmiany wyszukiwania. Od 2016 roku obowiązuje nas zarządzenie dyrektora Centralnej Komisji Egzaminacyjnej o udostępnianiu maturzystom oryginalnych (papierowych) arkuszy, w związku z czym system elektronicznego wglądu nie był dalej rozwijany – napisała Jadwiga Korpanty, wicedyrektor OKE we Wrocławiu.

W Poznaniu wierzą na słowo…

Zgłoszono nam również, że w Poznańskiej OKE loginem do konta jest PESEL, a do utworzenia konta wystarczy… imię, nazwisko i PESEL. Co więcej, możliwe jest nadanie nowego hasła dostępu po podaniu PESEL-u, nazwiska i informacji o miejscu urodzenia.

zrzut z ekranu

Jeden z naszych Czytelników twierdził, ze udało mu się zmienić hasło w ten sposób. Równie dobrze mogła zrobić to inna osoba, która znała jego PESEL i nazwisko (miejsce urodzenia można dość łatwo zgadnąć w wielu przypadkach).

Na swoich stronach poznańska OKE przyznaje, że weryfikuje dane uczniów porównując je z tymi, które dostała od szkoły. Jest to podejście mniej bezpieczne niż np. w Gdańsku, gdzie loginy i hasła uczniowie odbierali sekretariatu. Już sama możliwość założenia konta na PESEL, nazwisko i miejsce urodzenia jest niebezpieczna. Zwróciliśmy się z tą uwagą do Poznańskiej OKE. Dostaliśmy poniższą odpowiedź, niepodpisaną niczyim nazwiskiem.

Szanowny Panie,

dziękujemy za zainteresowanie naszym serwisem internetowym. Informujemy, że w związku z wejściem w życie rozporządzenia o ochronie danych osobowych RODO jesteśmy w trakcie dostosowywania naszych rozwiązań do wymogów rozporządzenia, w tym również w kwestiach związanych z logowaniem użytkowników.

Problem generalny – PESEL jako login/hasło

Problemy dotyczące OKE wpisują się w szerszy trend jakim jest używanie numeru PESEL w charakterze danej dostępowej. Niestety ten rodzaju “loginu” jest ściśle powiązany z określoną osobą, jest przewidywalny, nie można go zmienić i często jest po prostu publicznie dostępny.

Z reguły, systemy przetwarzające dane wrażliwe powinny co najmniej:

  • dawać możliwość wybrania własnego loginu (nieprzewidywalność)
  • umożliwiać samodzielne wybranie hasła (spełniającego minimalne wymagania)
  • umożliwiać zmianę hasła jeśli zajdzie taka potrzeba.

Życzymy sobie, aby jak najwięcej systemów udostępniało też dwuskładnikowe uwierzytelnienie, ale wiemy, że do tego, patrząc na standardy stosowane w OKE, jeszcze długa droga…

Atakowanie i Ochrona Aplikacji Webowych szkolenie
Dobre wdrożenie uwierzytelnienia użytkownika, uwzględniające ataki authentication bypass, odpowiedni sposób przechowywania hasła jak i informowanie o naruszeniach to dość skomplikowana sprawa. W szczegółach (i na przykładach) pokazujemy jak zrobić to poprawnie w trakcie naszego 2 dniowego szkolenia z Atakowania i Ochrony Webapliakcji, na które zapraszamy wszystkich programistów jak i testerów oraz architektów. Najbliższe terminy to

    5-6 lipca, Warszawa
    30-31 sierpnia, Gdańsk
    10-11 września, Kraków

Na szkolenie można zarejestrować się przez ten formularz, a jeśli wpiszecie w nim kod “OKE”, to z racji startu wakacji, nagrodzimy Was specjalną zniżką :)

Co dalej maturzysto?

Uczniowie szkół średnich mają powody by obawiać się o swoje dane. Zaraz czekają ich studia, gdzie z ochroną danych osobowych bywa naprawdę różnie. I pomyśleć, że ze świata edukacji człowiek przechodzi prosto do świata dorosłości, kredytów i zawierania umów na odległość…

PS. To nie jest nasz pierwszy artykuł o problemach komisji egzaminacyjnych. Wspominaliśmy kiedyś o CKE, która chowała próbne matury w głębokim ukryciu… W tym roku nie mieliśmy sygnałów, aby arkusze wyciekały, więc chyba ktoś wyciągnął wnioski…

Przeczytaj także:

8 komentarzy

Dodaj komentarz
  1. W USOSie Politechniki Warszawskiej również PESEL jest loginem do konta @-@

    • Loginem, nie hasłem. Hasło ustawiasz samodzielnie i może być nawet 32-znakowe.

  2. “Od momentu powstania do dnia dzisiejszego nie wpłynęły do Okręgowej Komisji Egzaminacyjnej w Gdańsku skargi czy uwagi dotyczące działania i zawartości ww. strony…”

    Odkąd mam prawo jazdy jeżdżę 200km/h, jeszcze nigdy nikt mi nie zwracał uwagi i nie proponował mandatu…

  3. wyniki.oke.gda.pl czemu tu nie ma https????

    • no nie wiem, może informatyk który to konfigurował nie dodał tej funkcji i obecnie już pracuje w innej firmie, a nowo zatrudniony informatyk, syn siostry głównej księgowej nie bardzo wie co to apacz? różnie bywa, życie ;)

  4. “każdy użytkownik serwisu wyniki.oke.gda.pl mógł wystąpić za pośrednictwem szkoły macierzystej o zmianę hasła dostępu lub zablokowanie konta.” – hasło można sobie spisać w sekretariacie szkoły z listy haseł dostępowych. Podpisano – Dyrektor Szkoły

    ;))

  5. W Bibliotece Uniwersytetu Łódzkiego loginem do konta jest PESEL, a hasłem… jego 4 ostatnie cyfry.

  6. Ostatnio ciekawie jest z systemami naszej edukacji..

    Dziś dowiedziałem się od swojej drugiej połówki (nauczycielka w jednej ze szkół w podwarszawskiej miejscowości), że był jakiś problem w systemie z ocenami.

    Jeden z rodziców wychwycił, że w systemie Librus są inne oceny niż te jakie są na świadectwie dziecka.. Po małym dochodzeniu szkoła wezwała rodziców by przyszli wymienić świadectwa dzieci. Dzieci miały mieć np. 5 z j. polskiego a na świadectwie 3…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.