12:50
19/12/2017

Uniwersytety, politechniki i akademie są dużymi i złożonymi instytucjami. Odbija się to w ich systemach informatycznych, które mogą być liczne, nie zawsze modernizowane, a czasem są wręcz zapomniane. W czerwcu pisaliśmy o związanych z nimi problemach, a teraz kontynuujemy temat incydentów w polskim światku akademickim.

W tym odcinku przedstawiamy wam 13 incydentów z różnych uczelni, a także opiszemy dwa przypadki niebędące incydentami, ale zasługujące na wspomnienie. Dowiedziecie się m.in. jak nie publikować list studentów, dlaczego API jest złe (w mniemaniu pracowników pewnej uczelni) oraz jak łatwo odgadywać hasła studentów i hakować im pralnię w akademiku. Post jest długi, dlatego od razu zespoilujemy, że incydenty dotyczą następujących uczelni.

    • Uniwersytet Pedagogiczny w Krakowie,
    • Wyższa Szkoła Zarządzania i Administracji w Opolu,
    • Uniwersytet Medyczny w Białymstoku,
    • Uniwersytet w Białymstoku,
    • Wyższa Szkoła Biznesu i Nauk Medycznych w Łodzi,
    • Uniwersytet Łódzki,
    • Politechnika Wrocławska,
    • Politechnika Warszawska,
    • Uniwersytet Przyrodniczo-Humanistyczny w Siedlcach,
    • Uniwersytet Ekonomiczny w Krakowie
    • Akademia Górniczo-Hutnicza w Krakowie.

Poza tym opisujemy jeden dobry przykład dotyczący reakcji uczelni na nasze zgłoszenie (Uniwersytet Śląski) oraz opisujemy jedną historyjkę z aplikacją AGH (nie jest ona opisem wpadki, ale z pewnego powodu jest ciekawa).

Nawet jeśli nie nie jesteście studentem czy pracownikiem powyższych uczelni, to i tak czytajcie dalej. Śmiechom nie będzie końca… ;)

1. PESELE studentów niepełnosprawnych

Nasz Czytelnik przeglądając strony kilku uczelni trafił na stronę Biura ds Osób Niepełnosprawnych (BON) działającego przy Uniwersytecie Pedagogicznym w Krakowie. Na stronie biura znalazł się komunikat o studentach, którym przydzielono miejsce w akademiku za pośrednictwem BON.

Komunikat linkował do pliku PDF, który wyglądał tak.

Numerki zasłoniliśmy, bo były to numery PESEL. Samo ujawnienie tych numerów mogłoby budzić wątpliwości, ale w tym przypadku było szczególnie nierozsądne. To były PESELe osób niepełnosprawnych (tj. takich, które starały się o akademik przez Biuro ds. Osób Niepełnosprawnych) a więc można traktować ten przypadek również w kategoriach ujawnienia wrażliwych danych o zdrowiu.

Zwróciliśmy na to uwagę Uniwersytetowi Pedagogicznemu. Szybko zareagowano na nasze zgłoszenie i zapowiedziano wyjaśnienie sytuacji. Później dostaliśmy następujące oświadczenie od rzeczniczki Uniwersytetu pani Doroty Rojek-Koryzny.

Chciałam Pana poinformować, że po Państwa informacji oprócz (tak jak pisałam w poprzednim mailu wysłanym z telefonu ) natychmiastowego usunięcia listy ze strony internetowej i wprowadzenia innego sposobu informowania studentów o uzyskanych miejscach w akademikach w kolejnych dniach podjęliśmy także działania naprawcze.

W Biurze Osób Niepełnosprawnych, gdzie pracują osoby z dysfunkcjami przeprowadzono dokładną analizę zaistniałej sytuacji, znaleziono przyczynę-był to niestety “błąd ludzki”, ponownie przeszkolono wszystkich pracowników. Dodatkowo, w przypadku tej szczególnej komórki organizacyjnej podobne sytuacje nie miały miejsca w przyszłości, podjęto decyzję o wzmocnieniu bezpośredniego monitoringu Biura Osób Niepełnosprawnych i dodatkowym nadzorze ze strony osób bezpośrednio odpowiedzialnych za ochronę informacji osobowych na całej uczelni.

Mamy szczerą nadzieję, że podobny incydent się nie powtórzy, jednocześnie dziękujemy za szybką interwencję portalu Niebezpiecznik.pl

Czy pracownicy Twojej firmy lepiej chronią dane klientów? Czy na pewno wiedzą jak poprawnie się z nimi obchodzić i jak bezpiecznie korzystać z służbowego komputera oraz telefonu komórkowego aby ograniczyć wycieki i nie dać się cyberprzestępcom?

W ciągu 2017 roku polskie firmy były celem tysięcy ataków. Niektóre z nich zakończyły się sukcesem włamywaczy. W innych przypadkach, tylko poprawne reakcje pracowników uchroniły firmę przed katastrofą.Jeśli chcesz nauczyć pracowników jak wykrywać i poprawnie reagować na współczesne ataki skierowane na polskie firmy, zamów jeden z 7 cyberwykładów. Przyjedziemy do Twojej firmy i na żywo pokażemy kilka ataków, w kontrolowany sposób okradając Twoich pracowników z ich firmowych danych. Opad szczęki gwarantowany! Ale bez obaw, wszystko co ukradniemy, oddamy, a w dodatku powiemy jak poprawnie wykrywać i reagować na tego typu ataki. Wiedzę przekazujemy sprawie, konkretnie i z poczuciem humoru, czyli tak, aby każdy był w stanie zrozumieć jak poprawnie zachowywać się w sieci i chronić zarówno samego siebie, jak i swoją firmę przed stratami.

W 2017 roku przeszkoliliśmy kilkanaście tysięcy pracowników polskich spółek. W niektórych z nich, nasze szkolenie stało się regularnym i obowiązkowym szkoleniem dla nowozatrudnianych pracowników. Dołącz do grupy naszych zadowolonych i zabezpieczonych klientów i zamów szkolenie “Bezpieczny Pracownik” lub jeden z 7 cyberwykładów dla swojej firmy.

2. PESELE i numery albumu 2,3 tys. studentów

Z kolei na stronie Wyższej Szkoły Zarządzania i Administracji w Opolu dało się znaleźć katalog !!!-baza a w nim plik o nazwie wszia-201702021342-po-aktualizacji.sql

Wspomniany plik ważył ponad 80 MB i zawierał różne dane osobowe, m.in. numery albumów, nazwiska i PESEL-e ponad 2,3 tys. studentów.

Na szczęście uczelnia zareagowała błyskawicznie gdy to zgłosiliśmy. Informatyk zaczął przeglądać cały serwis by się upewnić, że nigdzie przypadkiem nie pozostawiono innych plików. Pouczono pracowników odpowiedzialnych za tę sprawę i zapewniono nas, że taka sytuacja już się nie powtórzy.

3. PESELE i numery telefonów kandydatów

Przenosimy się do Białegostoku. Na stronie tamtejszego Uniwersytetu Medycznego dało się znaleźć plik XLS z wynikami testów. Na pierwszy rzut oka dokument wyglądał niewinnie.

Wystarczy spojrzeć na sam dół by zauważyć, że jest jeszcze drugi arkusz o nazwie “All”. Tam znalazły się dane wszystkich osób, które uczestniczyły w teście predyspozycji.

Imiona, nazwiska, drugie imiona, numery telefonów i numery PESEL. Wystarczająco dużo, by się przejmować. W sumie w dokumencie były dane 75 osób.

W takich sytuacjach zwykle wysyłamy do uczelni maila i natychmiast dzwonimy. Rzecznik prasowy UMB Marcin Tomkiel zadziałał szybko i dostęp do pliku został zablokowany kilka minut po naszej rozmowie telefonicznej. W przesłanym później oświadczeniu Marcin Tomkiel napisał.

Plik został zamieszczony omyłkowo w formacie xls jako druga zakładka, zamiast w formacie pliku PDF z niewidocznymi danymi osobowymi. Mając świadomość ochrony danych osobowych staramy się rzetelnie przestrzegać litery prawa i dbać o ich poufność. Zaistniała sytuacja była wynikiem ludzkiego błędu. Kierownik działu przeprowadził rozmowę dyscyplinującą i uczulił swoich podwładnych na zachowanie należytej staranności przy zamieszczaniu dokumentów dostępnych publicznie. Mamy zamiar niezwłocznie poinformować studentów, których dane zostały upublicznione o zaistniałej sytuacji. Redakcji portalu niebezpiecznik.pl jeszcze raz dziękujemy za zwrócenie nam uwagi na zamieszczenie nieodpowiedniego pliku.
Dopełnimy wszelkich starań, aby w przyszłości podobna sytuacja nigdy się nie powtórzyła.

Pogrubiliśmy zdanie o informowaniu studentów gdyż jest to bardzo ładny gest ze strony uczelni. Zazwyczaj o wyciekach muszą informować przedsiębiorcy telekomunikacyjni, natomiast inne firmy i instytucje unikają tego. Cieszy nas to, że Uniwersytet Medyczny w Białymstoku chce być w tej kwestii przejrzysty.

4. PESELE i numery albumów… i jeszcze coś.

Podobny problem jak wyżej miała inna uczelnia o profilu medycznym – Wyższa Szkoła Biznesu i Nauk Medycznych w Łodzi. Na jej serwerze dało się znaleźć publicznie dostępny plik zawierający – na pierwszy rzut oka – PESELe i numery albumów.

Już sama informacja łącząca PESEL z numerem albumu może stanowić zagrożenie dla prywatności studenta. Niestety pełne nazwiska też znalazły się w tym dokumencie, tylko były niewidoczne. Aby je odczytać należało zaznaczyć obszary w tabelce, skopiować je i wkleić gdzie dusza zapragnie.

 

Wypada jeszcze dodać, że dane z dokumentu były zindeksowane w Google.

Zgłosiliśmy ten problem uczelni i reakcja była szybka. Komentarza w tej sprawie udzieliła nam Aleksandra Mysiakowska, Pełnomocnik Kanclerza ds. Relacji Zewnętrznych.

Przede wszystkim dziękuję w imieniu Uczelni za zwrócenie uwagi na zaistniały problem. Wskazany plik został niezwłocznie usunięty z serwera, obecnie prowadzimy wewnętrzne postępowanie wyjaśniające i sprawdzające, które ustali okoliczności zdarzenia, w tym przyczyny zamieszczenia pliku we wskazanej postaci. Podejrzewamy, że mógł to być jednostkowy i nieumyślny błąd ludzki – nieprawidłowo przygotowany plik.

Do takiej sytuacji doszło pierwszy raz i dołożymy wszelkich starań, aby podobne zdarzenie nie miało więcej miejsca. Dokonujemy przeglądu wszystkich naszych publikacji na stronie internetowej i procedur zabezpieczenia danych osobowych. Na cyklicznym szkoleniu pracowników w zakresu ochrony danych osobowych ten przypadek zostanie szczegółowo zdiagnozowany i omówiony, w celu zminimalizowania prawdopodobieństwa popełnienia błędów w przyszłości. Jeszcze raz dziękujemy za udzielona pomoc.

5. PESELE wykładowców :)

Do tej pory zawsze opisywaliśmy wycieki danych studentów. Politechnika Wrocławska postanowiła zrobić w tym trendzie C-C-C-Combo Breaker. Uczelnia korzysta z rozwiązania Edukacja.CL. Pozwalało ono osobom niezalogowanym na przeglądanie informacji o pracownikach uczelni.

To oczywiście żaden problem i fakt zatrudnienia kogoś na uczelni nie jest tajemnicą. Dane na zrzucie powyżej zaczerniliśmy właściwie niepotrzebnie.

Prawdziwy problem dało się znaleźć po kliknięciu w “Szczegóły”. Karty pojedynczych pracowników ujawniały m.in. ich PESELe i numery rachunków bankowych, ale było to widoczne po zajrzeniu w źródło strony.

Dane nie były widoczne w przypadku każdego pracownika. W większości przypadków w kodzie były puste miejsca, ale zidentyfikowaliśmy kilku pracowników, u których ujawniono sam PESEL lub PESEL i numer konta.

Zespół Bezpieczeństwa Informacji PWr szybko zareagował na nasze zgłoszenie i udzielił poniższej odpowiedzi.

Wskazany problem został zgłoszony do dostawcy systemu Edukacja.CL, odpowiedzialnego za kod źródłowy. Źródłem problemu było najprawdopodobniej nieskuteczne usunięcie danych z katalogu (elementy zostały usunięte z widoczności, ale pozostały w kodzie) – czekamy na dokładne wyjaśnienie ze strony dostawcy. Do czasu poprawy błędu katalog nie będzie udostępniany.

Pozostałe elementy portalu zawierające dane osobowe, zostaną zweryfikowane pod kątem podobnych podatności

6. “Mocne” hasła na Politechnice Warszawskiej

Politechnika Warszawska zapewnia swoim klientom konta e-mailowe w formacie nralbumu@pw.edu.pl. Na konta można się dostać wpisując pozornie mocne hasło, złożone z cyfr, liter i znaków specjalnych. Problem w tym, że hasła są generowane według reguły, która jest wszystkim doskonale znana. Są to pierwsze litery miejsca urodzenia, ostatnie 3 cyfry numeru albumu, znak specjalny (zależny od cyfry numery albumu), pierwsze litery imion rodziców. Pamiętacie pierwszy odcinek z cyklu przygód hakera Janusza?

Złamanie takich haseł nie wydaje się szczególnie trudne. Dodajmy, że studenci naprawdę korzystają z tych skrzynek, bo preferują to niektóre wydziały, a poza tym dzięki skrzynce da się korzystać za darmo z pakietu office i microsoftowej  chmury.

Pewien nasz Czytelnik twierdzi, że haseł nie da się zmienić. Strona PW twierdzi, że jest to możliwe. Nawet jeśli, to trudno uznać domyślnie proponowane hasła za mocne, a procedura zmiany hasła powinna być w takiej sytuacji wymuszona.

Poza tym nasz Czytelnik dodał:

Jakieś pół roku temu pisaliście o systemie SJO PW. Pan [tu nazwisko pracownika PW] okazał się słowny tylko połowicznie: faktycznie zapisy na uczelniane egzaminy przeniesiono do sysetmu USOS, jednak nadal przez portal sjo można na przykład wypisać kogoś z zapełnionego lektoratu i zająć jego miejsce. Mam nadzieję, że kiedyś coś się w końcu ruszy

7. Mam tu Pana hasło!

Politechnika Warszawska ewidentnie ma problem z hasłami nie tylko w przypadku kont e-mail. Studenci PW zwrócili nam uwagę na dwie ciekawostki. Jedną z nich była poniższa historyjka, nie wymagająca chyba dodatkowego komentarza”

Kończąc studia inżynierskie, należało wypełnić obiegówkę. W tym celu należało również udać się do Biblioteki Głównej, po wpis. Tam Pani mi powiedziała, że jako, że kontynuuję studia na magisterskich, może mi od razu przedłużyć ważność konta bibliotecznego. Zgodziłem się. Zapytała mnie potem o to, czy pamiętam swoje hasło do systemu bibliotecznego (…). Powiedziałem, że nie, a Pani mi odpowiedziała, że jest to hasło X znakowe (w sensie powiedziała mi dokładnie ile znaków ma moje aktualne hasło). Policzyłem na palcach liczbę znaków w haśle, które przypomniało mi się, że mogłem mieć ustawione jako hasło w systemie bibliotecznym, no i liczba się zgadzała. Zdziwiony zapytałem: “czy wyświetla się Pani moje hasło na monitorze”. Ona odpowiedziała, że tak, mają możliwość podglądu haseł kont w systemach bibliotecznych (WOW). Dalej mnie zapytała, czy chcę ustawić nowe hasło, odpowiedziałem, że tak. No i podała mi kartkę i powiedziała, żebym napisał jej hasło, jakie sobie chcę ustawić…

Temat systemów bibliotecznych wałkowaliśmy już kilkakrotnie i wyjaśnialiśmy, że wiele zależy od sposobu wdrożenia tych rozwiązań, które są dostępne na rynku.

8. Logowanie na nr albumu i …inicjały ujawnia numer telefonu i adres

Na Uniwersytecie w Białymstoku logowanie do katalogu biblioteki odbywało się poprzez taki formularz.

Według naszego Czytelnika numer karty bibliotecznej jest taki sam jak numer albumu, więc odgadnięcie danych logowania innej osoby nie było trudne. Po zalogowaniu się, można było zobaczyć m.in. adres i numer telefonu danej osoby.

Zgłosiliśmy sprawę władzom UWB i po kilku dniach otrzymaliśmy taką odpowiedź.

Szanowny Panie Redaktorze,
przede wszystkim dziękujemy za zwrócenie uwagi na problem związany z bezpieczeństwem danych w systemie bibliotecznym Aleph Biblioteki Uniwersyteckiej w Białymstoku.
Po sygnale od Państwa redakcji pracownicy BU bezzwłocznie podjęli prace mające na celu zwiększenie bezpieczeństwa użytkowników i ich danych, polegające na wprowadzeniu usługi centralnego uwierzytelniania (CAS).
Jednocześnie do czasu zakończenia tych prac:
– wszelkie wrażliwe dane (adres, nr telefonu jeżeli był podany) zostały ukryte z widoku po zalogowaniu się na konto czytelnika,
– dodatkowo z bazy prac dyplomowych usunięte zostały numery legitymacji.
Zatem obecnie, po zalogowaniu do usług katalogowych systemu bibliotecznego Aleph, czytelnicy – w tym studenci – nie mają dostępu do wrażliwych danych osobowych.
Nie możemy natomiast zrezygnować z tzw. historii wypożyczeń, bo jest to informacja przydatna, a w pewnych wypadkach niezbędna dla użytkowników – np. w celu przedłużenia terminu zwrotu publikacji.
Jak najbardziej stoimy na stanowisku, że sposób logowania powinien wykorzystywać bardziej unikalny login i hasło. W tym celu pracownicy BU, we współpracy z naszym Działem Aplikacji Komputerowych, rozpoczęli już prace w celu umożliwienia studentom logowania się do katalogu w Aleph bezpiecznymi technikami opartymi o system CAS współdzielony z innymi aplikacjami studenckimi, np. USOS.

Jeszcze raz przypomnimy, że w poprzednim tekście o uczelnianych wpadkach pisaliśmy o systemie ALEPH. Przewidziano w nim rozwiązania istotne dla bezpieczeństwa, ale niestety w poszczególnych wdrożeniach nie zawsze są one stosowane.

9. USOS niczym Facebook

Studenci pisali do nas także w sprawie systemu USOS Uniwersytetu Łódzkiego. Można w nim było wpisać numer indeksu studenta, żeby pojawił się podgląd jego profilu (z imieniem, nazwiskiem i przedmiotami). Samo wyszukiwanie studentów wymagało bycia zalogowanym do systemu, ale przecież studentów jest sporo i niekoniecznie wszyscy muszą chcieć, aby ich profil był dostępny dla wszystkich innych.

Na pytania o system USOS odpowiedział nam Tomasz Boruszczak, rzecznik prasowy Uniwersytetu Łódzkiego.

USOS jest systemem stworzonym przez MUCI (Międzyuniwersyteckie Centrum Informatyzacji) i jako gotowy produkt jest wdrażany na poszczególnych uczelniach. Informacje jakie podaje USOS o innych studentach po zalogowaniu to: imię, nazwisko, nr indeksu, kierunek i status studiów, adres mailowy oraz informacje o wspólnych grupach. Nie można przejrzeć wszystkich przedmiotów innego studenta.

W założeniach katalog miał pomagać studentom w kontakcie z kolegami i wykładowcami.

Uniwersytet Łódzki ma świadomość, że część informacji jest nadmierna np. kierunek studiów i jego status. Problem ten został zgłoszony do MUCI na początku roku.

Czy jest to zbytnia ingerencja w prywatność studenta? To trudne pytanie. Z jednej strony studenci oczekują poszanowania prywatności, z drugiej dla wygody kontaktu tworzą grupy zajęciowe na Facebooku i łączą się prywatnymi profilami.

Większość z nich na portalu społecznościowym chwali się kierunkiem studiów i zaliczeniem sesji.

Można oczywiście rozważać czy taki katalog w USOSie jest potrzebny. Obecnie może on funkcjonować w takiej formie lub zostać wyłączony. Ze względu na brak zastrzeżeń ze strony studentów funkcjonalność jest nadal utrzymywana choć nie wykluczamy zamknięcia tej usługi.

Odczuwamy potrzebę polemizowania. Nawet jeśli studenci mają konta na Facebooku to wcale nie oznacza domyślnej zgody na publikowanie ich danych w innych systemach. Posiadanie konta na Facebooku jest wyborem danej osoby, natomiast profil w USOS najwyraźniej jest domyślnym dodatkiem do statusu studenta uczelni. To ogromna różnica. Jeśli jesteście studentami UŁ i to wam przeszkadza, powinniście zacząć to zgłaszać.

10. Hasło = login! Spróbuj!

Uniwersytet Przyrodniczo-Humanistyczny w Siedlcach też ma system USOS, a strona logowania do tego systemu jest… hmmm… zastanawiająca (żółte podświetlenie tekstu zostało dodane do obrazka).

Choć wygląda to niepokojąco to rzecznik UPH dr hab. Adam Bobryk zapewnił nas, że użytkownicy logują się do usług UPH za pomocą loginu i hasła, które są od siebie różne i muszą spełniać określone wymagania. Niestety nie wyjaśniono nam dlaczego strona logowania podpowiada inaczej.

11. Zaświadczenie dla kumpla

Pewien student Uniwersytetu Ekonomicznego w Krakowie doniósł nam, że udało mu się pobrać z dziekanatu “zaświadczenia dla kumpli”.

Podaj tylko numer albumu (jawnie dostępny), nie musisz nawet udawać kogoś innego, śmiało dali mi ostatnio 6 szt dla kolegów
– Na zaświadczeniu, imię, naziwsko, pesel, adres zamieszkania (dane już poufne)ale co tam.
– Miej numer albumu i pesel
– Zaloguj się do wirtualnego dziekanatu – miej dostęp do wszystkich ocen (może nie przypałowe)
– Jak ktoś składał wniosek o stypendium socjalne mniej dane wszystkich członków rodziny, łącznie z zarobkami, zaświadczeniami z US etc
– Miej wgląd do wszystkich wniosków typu “Ze względu na ciężą sytuację~~ razem z dokumentacją)
– Oczywiście bądź w 100% anonimowy :) bo nikt nie weryfikuje kto pobiera zaświadczenie.

Zgłosiliśmy uczelni ten problem. Rzecznik uczelni Paweł Kozakiewicz zapowiedział, że niezwłocznie “zostało wszczęte postępowanie sprawdzające w zakresie bezpieczeństwa informacji, w tym w szczególności w zakresie przestrzegania zasad i wymagań dotyczących ochrony danych osobowych. W trakcie tego postępowania zostaną zweryfikowane wskazane przez Pana Redaktora okoliczności.”

Najprawdopodobniej teraz trudniej będzie uzyskać zaświadczenie dla kumpli. Przepraszamy, że wam to utrudniliśmy :>.

12. i 13. Rekrutacja na Uniwersytet Warszawski i pralki na AGH

W naszej redakcyjnej szufladzie są jeszcze historyjki o ludziach, którzy znaleźli ciekawe podatności w uczelnianych systemach. Jeden z naszych Czytelników znalazł błąd w systemie IRK Uniwersytetu Warszawskiego, który pozwalał wykradać dane kandydatów na studia. Luka została ujawniona odpowiedzialnie i załatana. Uczelnia potwierdziła dla nas, że problem istniał. Być może opiszemy to dokładniej w przyszłości.

Inny z naszych Czytelników zdobył dostęp do danych studentów z miasteczka AGH.

Powodem były ogólnie dostępne panele zarządzania oraz ich wersje testowe pracujące na oryginalnej bazie. Po e-mailowym kontakcie naszego Czytelnika z uczelnią wstawiono logowanie i wymagane certyfikaty SSL.

O wykrywaniu i zapobieganiu tego typu błędów mówimy na naszym szkoleniu z Atakowania i Ochrony Webaplikacji. Każdy programista, architekt systemu czy tester powinien wziąć w nim udział. Zostały nam ostatnie wolne miejsca na terminy w tym roku ale jest też możliwość zakupu vouchera na dowolny termin w 2018 roku.

Rzeczniczka AGH Anna Żmuda-Muszyńska wyjaśniła nam, że ten incydent dotyczył… systemu samoobsługi studentów w zakresie dokonywania rezerwacji pralni (więc i coś takiego może mieć uczelnia!). Informacje, do których był dostęp, to imię i nazwisko mieszkańca akademików, i dostępne były tylko do odczytu. Luka wynikała z braku ograniczenia liczby zapytań do bazy danych za pomocą API, które to API – według uczelnia – wymagało zalogowania i nie było zupełnie ogólnodostępne. Na pocieszenie dodajmy, że systemy informatyczne miasteczka studenckiego były audytowane przez zewnętrzną firmę, na zlecenie Prorektora ds. Nauki, w marcu 2015, wraz z kilkoma innymi systemami.

Z AGH związany jest jeszcze jeden z naszych akademickich przypadków.

13. Aplikacja AGH i rozważania o API (nie incydent, ale ciekawe)

Pewna osoba poinformowała nas, że ma zastrzeżenia do aplikacji mobilnej Wirtualny Dziekanat AGH. Aplikacja nie została przygotowana przez uczelnię, ale przez studenta Jana Pogockiego, choć później uczelnia “zaakceptowała aplikację”. Nasz informator twierdził, że aplikacja “nie ma żadnych tokenów, nie korzysta z żadnego API”, a zatem władze uczelni nie są w stanie sprawdzić, czy jej twórca nie loguje się na konta innych osób. Informator zasugerował też, że uczelnia nie ma dostępu do kodu źródłowego.

Rozmawialiśmy o tej sprawie zarówno z Janem Pogockim jak i z uczelnią. Okazało się, że AGH ma wgląd w kod źródłowy i to po każdej aktualizacji (przez dostęp do repozytorium na GitHubie). Akceptacja samej aplikacji odbyła się przy udziale Uczelnianego Centrum Informatyki (UCI), w którym — i wiemy o tym z autopsji — nie pracują przypadkowi ludzie. Władze uczelni przyznały jednak, że aplikacja nie korzysta z żadnego API (studenci muszą podać swoje prawdziwe hasło do systemu i aplikacja to hasło wykorzystuje do logowania, a zatem możliwe jest, aby jej autor wszedł w jego posiadanie — dop. redakcji).

Jan wyjaśnił nam, że aplikacja jest w sumie czymś w rodzaju przeglądarki dla strony Wirtualnego Dziekanatu (niezbyt przyjemnej w oryginalnej formie, o czym wiemy od kilku studentów). Zapewnił też, że aplikacja nie wysyła prywatnych danych i haseł poza oficjalne serwery AGH, a komunikacja z serwerem Dziekanat AGH przebiega w oparciu o bezpieczny protokół HTTPS.

Nie wątpimy w dobrą wolę Jana i nie chcemy złośliwie krytykować jego aplikacji i pozytywnego wkładu w studenckie życie. Niemniej pozwoliliśmy sobie na odrobinę teoretyzowania i zadaliśmy uczelni następujące pytanie. Czy uczelnia nie sądzi, że tego typu aplikacja powinna funkcjonować w oparciu o API?

Od kogoś z UCI, za pośrednictwem pani Anny Żmudy-Muszyńskiej dostaliśmy taką odpowiedź.

Przy funkcjonowaniu w oparciu o API mamy ten sam problem o ile nie większy, zawsze jest moment, że trzeba zapamiętać hasło w aplikacji. Przy dostępie przez API jest dodatkowe ryzyko, że API może udostępniać więcej informacji niż przeglądarka, tutaj mamy stronę internetową przeglądniętą i wielokrotnie zweryfikowaną użytkowników.

Co!?

Zabrakło nam słów, żeby to skomentować, ale każdy student pierwszego roku na AGH, nawet socjologii, powinien wiedzieć, dlaczego to powyższa krytyka API jest błędna.

Z Janem też rozmawialiśmy o API. On przyznał nieco rozsądniej niż uczelnia, że  “API z pewnością bardzo by się przydało“. Powtórzymy jeszcze raz, że nie mamy żadnych zastrzeżeń do Jana, autora aplikacji. Zrobił on aplikację najlepiej, jak było można w obecnych warunkach i chciał nią rozwiązać pewien studencki problem. To jest fajne. Natomiast również Jan w e-mailu do nas zauważył, że każdy mógłby zrobić konkurencyjną aplikacje z backdoorem i ten ktoś “uzyskałby dane tych, których udałoby mu się przekonać do swojej aplikacji“. I tutaj się z Janem w 100% zgodzimy dodając, że jego aplikacja uzyskała wsparcie AGH, co znacznie ułatwia przekonywanie do niej ludzi.

Wszystkim użytkownikom aplikacji Jana sugerujemy — na wszelki wypadek — ustawienie do Wirtualnego Dziekanatu hasła niewykorzystywanego w żadnym innym miejscu. Ba! Zawsze wszystkim zalecamy stosowanie różnych haseł do różnych serwisów!

15. Uniwersytet Ślaski w Katowicach – dobry przykład

Pewien student Uniwersytetu Śląskiego w Katowicach odkrył, że będąc zalogowanym w USOSWeb może wpisać w wyszukiwarkę osób  losowy, sześciocyfrowy numer. W wynikach wyszukiwania pojawi się osoba przypisana do tego numeru. Nasz Czytelnik nie wiedział czy jest to zagrożenie dla bezpieczeństwa, ale na wszelki wypadek dał nam znać.

Poinformowaliśmy o tym uczelnię. Przy okazji spytaliśmy, czy jej zdaniem wyszukiwanie studentów w USOS w ogóle jest potrzebne? Nasza wiadomość została potraktowana poważnie. Rzecznik Uczelni Jacek Szymik-Kozaczko napisał:

Szanowni Państwo,

z założenia jednym z zadań systemu USOSWeb jest umożliwienie komunikacji pomiędzy członkami społeczności akademickiej. W tym też celu został zaimplementowany katalog, na który zwróciliście Państwo uwagę, umożliwiający wyszukiwanie pracowników i studentów. Uważamy bowiem, podobnie jak inne uczelnie wykorzystujące system USOSWeb, iż jednym z istotnych czynników wpływających na proces studiowania jest możliwość interakcji z innymi członkami społeczności akademickiej.

Zwracamy uwagę, że wyszukiwanie studentów możliwe jest tylko dla osób zalogowanych do systemu. Nie jest to więc funkcjonalność dostępna „wprost” z Internetu dla osób innych niż członkowie społeczności akademickiej.

Zakres zwracanych w katalogu danych obejmuje tylko podstawowe dane kontaktowe. Nie znajdują się tam dane np. dotyczące statusu studenta na programie studiów, zaliczenia przedmiotów, itp. Identyfikatory
USOS ID oraz indeks są wykorzystywane wewnętrznie do identyfikowania osób. Można by powiedzieć, że pełnią funkcję techniczną. Żaden z tych identyfikatorów nie umożliwia według naszej wiedzy uzyskania dostępu do danych innych, niż wskazane w katalogu. Jakkolwiek wskazane numery mogą wskazywać na dane osób, to dostęp do tych danych wymaga zawsze autoryzacji, której bezpieczeństwo opiera się o inne składniki niż wspomniane numery USOS ID i indeks.

Jakkolwiek zwykle zapytania takie jak Państwa burzą spokój służb odpowiedzialnych za bezpieczeństwo danych w niejednej organizacji, to my jesteśmy wdzięczni za Państwa uwagi. Od lat staramy się podchodzić starannie do kwestii bezpieczeństwa. Jest to kwestia wymagająca ciągłej uwagi. Jakkolwiek uważamy, że wskazane przez Państwa zachowanie systemu nie stwarza dużego ryzyka dostępu do nieuprawnionych danych, będziemy tą kwestię dalej analizowali.

Przekażemy Państwa list do twórców systemu USOSWeb, tak aby tam również dokonano takiej analizy.

Chcieliśmy pokazać ten przykład dobrej obsługi zgłoszeń bezpieczeństwa (i zrozumienia dla nas). Nie zawsze nasze obawy się potwierdzą, ale cieszymy się gdy ktoś rozumie, że nie sprawdzamy takich tropów dla przyjemności. Miło jest widzieć współpracę po tej drugiej stronie.

Nie. To nie koniec!

Mamy na tapecie kilka innych spraw okołouczelnianych dotyczących bezpieczeństwa, ale na dziś już zakończymy. Niebawem kolejny multipost.

PS. Jeśli na waszej uczelni zauważyliście podobne (lub co gorsza poważniejsze) problemy, dajcie nam znać — gwarantujemy anonimowość.

O tym serwisie i o innych sposobach na ochronę swoich danych w sieci podczas korzystania z różnych serwisów internetowych, w tym sieci społecznościowych, sklepów i bankowości opowiadamy w ramach naszych cyberwykładów, które są dedykowane firmom oraz w ramach naszych otwartych spotkań pt. “Jak nie dać się zhackować“, na które przyjść może każdy. Najbliższe tego typu spotkania odbędą się

  • WARSZAWA: Czwartek, 18 stycznia 2018r., godz. 18:00.
    Miejsce: Kinoteka w Pałacu Kultury i Nauki.
  • KRAKÓW: Poniedziałek, 22 stycznia 2018r., godz. 18:00
    Miejsce: Tauron Arena

Na powyższe wykłady możecie się zarejestrować w tym miejscu. Śpieszcie się, zostały ostatnie wolne miejsca!

Przeczytaj także:

24 komentarzy

Dodaj komentarz
  1. @13:
    Ja to rozumiem tak, że jest strona Wirtualnego Dziekanatu, z której ciężko się korzysta. Więc student zrobił program, który to korzystanie ułatwia (coś jak aplikacja Mój Pociąg była nakładką na stronę PLK). Tyle.
    Gdyby ktoś miał przygotowywać API to równie dobrze mógłby zrobić dobrze działającą stronę Wirtualnego Dziekanatu. I czy by robił nową stronę, czy API – to byłaby to kolejna rzecz, której bezpieczeństwo trzebaby sprawdzić – więc nie rozumiem czego się czepiacie odpowiedzi. Strona jest jaka jest ale działa i (prawdopodobnie) nie ma dziur więc nikt nie chce jej ruszać.

  2. Nie no, kawał dobrej roboty Panowie (tudzież Panie)!

  3. Jak chodzi o “13. Aplikacja AGH i rozważania o API” – o ile odpowiedź UCI brzmi – delikatnie rzecz ujmując – oryginalnie, to patrząc na to jak system Wirtualna Uczelnia wygląda od strony studenta i prowadzącego, nie chciałbym żeby ta sama firma/te same osoby dodawały do niego jakiekolwiek API…

  4. Szkoda, że nie powiedzieliście, że oprócz Exceli można pobrać pliki PDF z białą czcionką na białym tle. Tak wyglądają wydruki z niektórych Exceli. Widać tam też imię, nazwisko i RESEL. Tak. Excel drukuje białą czcionkę do PDFa.

    • Oczywiście, że drukuje białą czcionkę. Przecież nigdzie nie jest powiedziane, że to ma iść na zwykły biały papier na zwykłej drukarce. Próbę ukrycia białą czcionką podjął twórca konkretnego pliku PDF, tkwiąc zapewne w przyzwyczajeniach z drukowania na zwykły, biały papier. Gdyby chciał zrobić to porządnie, to określiłby odpowiednio zakres wydruku albo ukrył kolumny, które nie mają być drukowane, albo wydrukował zrzut ekranu (wtedy można się bawić w ukrywanie poszczególnych fragmentów treści poprzez ujednolicenie koloru czcionki i tła), albo (najbezpieczniej) skopiował do osobnego arkusza lub pliku tekstowego tylko te rzeczy, które mają być drukowane; skopiował albo przez ctrl+c, ctrl+v, albo prostymi funkcjami w rodzaju jeśli(‘arkusz_z_danymi’.zgoda_pesel=”tak”;’arkusz_z_danymi’.pesel;””).
      Jeśli władza będzie chciała zrobić pokazówkę jak skrupulatnie walczy z wyciekami danych osobowych, to chyba wiem gdzie będzie najłatwiej znaleźć koziołki ofiarne.

    • ja – spróbuj wydrukować biały tekst na czarnej kartce :D

    • Biało na czarnym? Oczywiście można, na przykład za pomocą:
      – OKI C920WT (fabrycznie z białym tonerem)
      – atramentówki Epson – kilka modeli z białym tuszem.
      – „zamienniki” kartridży z białym tonerem można dokupić do wielu modeli drukarek laserowych (najwięcej chyba do HP) nie tylko na dalekowschodnich portalach.

    • Jonasz: Zgadza się. Tak, jak napisałem – na ZWYKŁEJ biurowej drukarce będzie tak jak Tobie i specjalistom od białej czcionki się wydaje prawidłowo – nawet na kolorowym albo czarnym papierze białej czcionki nie będzie widać, ale np. na dysku drukarki może pozostać ta “ukryta” treść. Myślałem raczej o wspomnianym w artykule publikowaniu w postaci elektronicznej (drukowaniu do pliku PDF, który ma być udostępniony do pobrania) albo o druku na profesjonalnym sprzęcie drukarskim (czy choćby bardziej zaawansowanym biurowym). Złe przyzwyczajenia zaowocują białą czcionką, zamiast brakiem tekstu.

  5. Listy z samymi numerami PESEL wiszą publicznie na stronach bardzo wielu instytucji. Uczelnie, szkoły, stowarzyszenia a nawet urzędy miast, żłobki i przedszkola (PESEL-e przyjętych dzieci). Czy sam nr PESEL bez jakichkolwiek innych danych jest informacją niejawną?

    • Według mnie absolutnie same numery PESEL nie stanowią żadnego problemu.
      Lista samych nr PESEL nie jest też zbiorem danych osobowych.

    • Czy aby na pewno? Pewna analogia PESEL-u do SSN w USA istnieje :)

    • Odszczekac muszę że sam nr PESEL nie jest zbiorem danych osobowych:
      https://edugiodo.giodo.gov.pl/file.php/1/ODO/ODO_R02_03.htm

      Tylko teraz zastanawiam się nad pewną grą w jednej z rozgłośni radiowych…

    • Aktualnie numer PESEL jest już sam w sobie daną osobową a upublicznianie jej jest ścigane z urzędu. Można o tym przeczytać na głównej stronie GIODO.

      http://www.giodo.gov.pl/pl/319/973

      “Przykładem pojedynczej informacji stanowiącej daną osobową jest natomiast numer PESEL, który zgodnie z art. 15 ust. 2 ustawy z dnia 24 września 2010 r. o ewidencji ludności (Dz.U. z 2015 r. poz. 388) jest 11-cyfrowym symbolem numerycznym, jednoznacznie identyfikującym osobę fizyczną, w którym sześć pierwszych cyfr oznacza datę urodzenia (rok, miesiąc, dzień), kolejne cztery – liczbę porządkową i płeć osoby, a ostatnia jest cyfrą kontrolną służącą do elektronicznej kontroli poprawności nadanego numeru ewidencyjnego. Można więc stwierdzić, że numer PESEL ex definitione stanowi daną osobową, a jej przetwarzanie podlega wszelkim rygorom przewidzianym w ustawie o ochronie danych osobowych.”

      Ważną rzeczą jest fakt, że KAŻDY rodzaj informacji, który umożliwia odnalezienie konkretnej osoby jest uznawany aktualnie za dane osobowe.

      “Danymi osobowymi będą zatem zarówno takie dane, które pozwalają na określenie tożsamości konkretnej osoby, jak i takie, które nie pozwalają na jej natychmiastową identyfikację, ale są, przy pewnym nakładzie kosztów, czasu i działań, wystarczające do jej ustalenia.” – Czyli na przykład nawet sam głupi adres mailowy, jeśli ma w domenie np. firmę pracownika, bądź nazwę uczelni.

  6. Co do 9 i 15, to jeśli dobrze rozumiem, chodzi o dokładnie tę samą funkcję w takim samym systemie, a ciekawa jest zupełnie inna postawa redaktora wynikająca tylko z różnych odpowiedzi od uczelni.

    Mogę jedynie potwierdzić, że w USOSie Uniwersytetu Warszawskiego również można wyszukiwać studentów w katalogu (za pomocą numeru indeksu lub imienia i nazwiska, ewentualnie niezbyt ważnego USOS ID) i w profilu takiej osoby widzimy: imię i nazwisko, USOS ID, zazwyczaj numer indeksu (jest on częścią domyślnego maila, ale przynajmniej niektóre wydziały pozwalają na ustawienie aliasu), zdjęcie użytkownika (każdy ma prawo je ukryć w ustawieniach) oraz krótki status studiów, np: “Studiuje na programie X, stacjonarne, I stopnia” lub “Były student”.

    Rzecznik UŁ powiedział, że ich USOS nie pokazuje danych “dotyczących statusu studenta na programie studiów”, co sugeruje, że podobnie jak USOSy UŚ i UW, pokazuje on na jakim programie studiów jest dany student.

  7. Jakby jakiś student nie wiedział, w USOS są ustawienia prywatności ;)

  8. Wirtualny Dziekanat AGH swojego czasu zrzucił 35 tysięcy numerów indeksów, imion i nazwisk studentów (+ kierunki na których studiują). SJO AGH wyrzucało imię i nazwisko studenta jak się podawało numer indeksu. LDAP AGH umożliwia zresetowanie hasła przez podanie numeru PESEL (data urodzenia i płeć z FB załatwia 6.5 cyfr z 10, co oznacza że przeciętnie wystarczy 5000 requestów – ostatnio jak sprawdzałem nie było rate limitingu) – można wyciągnąć czyjś PESEL jak się ma jego numer indeksu. Swojego czasu MPK na podstawie numeru indeksu zrzucało też jakieś ciekawe dane o ile ktoś miał bilet na legitymację (nie studiuję już więc nie sprawdzę, ktoś ma chwilę?). Więcej grzechów nie pamiętam.

  9. Kiedyś logując się do Edukacji.CL na pwr swoimi danymi zostałem zalogowany na konto jakiejś innej studentki. Komplet danych ze zdjęciem włączając numer dowodu osobistego…

  10. Wszędzie dzieci skryptu… nawet nie umieją zabezpieczyć własnych stron na uczelniach a oni chcą uczyć ludzi jak to robić… te całe studia są tyle warte :)

  11. W jaki sposób wykorzystanie API zamiast bezpośrednio strony miałoby zabezpieczyć przed pozyskaniem danych przez autora aplikacji z backdoorem?

    • Jeżeli logowanie robiliby w sposób rozsądny (przez stronę internetową) to sama aplikacja dostaje wyłącznie token do użytku w jednej aplikacji zamiast pełnego loginu i hasła. W przypadku gdyby ten token byłby wykorzystany w sposób niewłaściwy to w łatwy sposób można zablokować atakującego (anulując wszystkie tokeny aplikacji) a jednocześnie łatwo namierzyć źródło problemów (bo by dostać tokeny aplikacja musiałaby zostać zarejestrowana).

      Bez API aplikacja dostaje od razu login i hasło, które można użyć wszędzie i nie da się ich łatwo poblokować, bo trudno odkryć czyje dane zostały wykradzione, a sami użytkownicy mogą stracić całkowicie dostęp do serwisu.

  12. Szkoda, że nie ma nic o ostatnim, bardzo świeżym przypadku z Lubelskiego UMCS… Aktualnie studenci zmagają się z zatajaniem przez uczelnię faktu udostępnienia danych osobowych studentów… Prawdopodobnie rozejdzie się po kościach a uczelnia dalej będzie robić swoje. :/ Ciekawe ile takich przypadków w Polsce nigdy nie ujrzy światła dziennego, bo studenci są zastraszani…

  13. Uczelnie wyższe, dla inteligentnych ludzi. Poziom tych uczelni jest na poziomie ich zabezpieczeń. To nie jest jednostkowy wypadek. Ja sam dostałem zaświadczenie z ZUSu, że ukończyłem uczelnie A i muszę donieść do nich papiery. Na uczelni A nigdy nie byłem. Prowadzący publikują często gęsto całą listę studentów z różnymi danymi.

  14. Co do punktu 6 to podobnie jest (lub było) na stronie OIS WMiI UWM. Login do serwera był robiony na podstawie składni i trzeba było go zmienić przy pierwszym logowaniu na wydziałowym komputerze lub z dowolnego komputera (nawet z domu) łącząc się przez SSH z publicznie dostępnym serwerem hostującym strony studentów i wykładowców. Przy wyborze drugiej opcji nawet nie trzeba było zmieniać hasła i domyślne hasło bez problemu działało na uczelnianych komputerach.

  15. Na stronie mojej uczelni udostępniają plik z osobami które otrzymują stypendium (tylko nr. albumu), jednak w zeszłym roku ktoś się pomylił i udostępnił plik z danymi jak: Imię, nazwisko, pesel, adres zamieszkania, wysokość dochodu i numer konta bankowego :)

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: