10:45
14/6/2017

Nie tylko wątroba może ucierpieć w czasie studiów. Dane osobowe studentów również. Uczelnie gromadzą informacje na temat studentów w różnych systemach i świadczą dla nich e-usługi, które nie zawsze są odpowiednio zabezpieczone. Niefrasobliwość ujawnia się m.in. w systemach bibliotecznych, ale i poza nimi także zdarzają się poważne wpadki. Oto kompilacja kilku incydentów dotyczących polskich uczelni jakie w analizowaliśmy w ostatnich miesiącach.

Problemy uczelnianych bibliotek

W kwietniu pisaliśmy, że loginy i hasła do kont na serwerze biblioteki Politechniki Wrocławskiej były przewidywalne. Każdy mógł się zalogować się na konto studenta i pozyskać jego dane osobowe, a nawet odciąć studenta od korzystania z usług biblioteki. Po opisaniu sprawy napisali do nas studenci innych uczelni, którzy dostrzegli podobne problemy na swojej Alma Mater. Adrian napisał do nas w sprawie Politechniki Rzeszowskiej.

Chciałbym opisać bardzo podobną sytuację, która dotyczy na pewno studentów, którzy podjęli studia do roku 2015 (włącznie) na Politechnice Rzeszowskiej. Czy ten stan rzeczy jest obecny również wśród studentów, którzy podjęli studia po roku 2016, nie wiem.

(…)
Otóż dane logowania do systemu bibliotecznego (system ALEPH) wyglądają następująco:
Login: Nr albumu
Hasło: Nr albumu
Kompromitacja, prawda?
Sprawa jest o tyle ciekawsza, że numery albumów są przypisywane kolejno, np.: 140000, 140001, 140002, 140003 itd. wśród studentów danego kierunku.

(…)
Jestem pewien, że za przysłowiowy czteropak, jakiś student chętnie podeślę nam listę studentów swojego kierunku. (…) Każda szanująca się instytucja wymaga zmiany domyślnego lub tymczasowego hasła podczas pierwszego logowania. System ALEPH tego nie robi.

Adrian zasugerował, że problem tkwi w systemie bibliotecznym (Aleph) używanym zarówno we Wrocławiu jak w Rzeszowie. Tylko czy jest to wina samego systemu czy konkretnego wdrożenia? Aby mieć lepszy ogląd na sprawę zwróciliśmy się do firmy Aleph Polska, która jest dystrybutorem popularnego systemu bibliotecznego. Odpowiedzi udzielił nam prezes Maciej Dziubecki.

Czy system ALEPH posiada funkcje, które wymuszałyby zmiany haseł na kontach osób wypożyczających ujętych w systemie biblioteki? To zależy od jego konfiguracji. Może być tak, że wymusza i może nie wymuszać.
(…)
Stosowanie łatwych do odgadnięcia loginów i haseł NIE wynika z funkcjonalności systemu Aleph. Biblioteka sama decyduje o tym jaki to będzie login, czy będzie on przypadkowy lub unikalny. Mają dowolność w tej kwestii. (…) Również kwestie takie jak kontrola jakości hasła, wygasanie haseł, potwierdzanie przez e-mail lub SMS — wszystkie te funkcje są aktualnie dostępne.
(…)
Wielokrotnie na etapie wdrożenia i szkoleń spotykaliśmy się z taką odpowiedzią na propozycję włączenia LDAP-a: “A wiecie państwo, kiedyś ten LDAP wejdzie, więc wtedy wrócimy do tematu”. Tylko, że później ten LDAP nigdy nie występował. Nawet gdy później o to pytaliśmy, odpowiadano że administratorzy nie są gotowi. Temat się rozmywał.
(…)
Zdając sobie sprawę z występowania tego typu problemów szukamy jakiegoś rozwiązania. Być może będę w stanie powiedzieć coś o tym w przyszłości.

Czyli problem nie tkwi w systemie ALEPH. Pozostało nam tylko spytać przedstawicieli Politechniki Rzeszowskiej, czy zdają sobie sprawę z problemu w tej konkretnej bibliotece. Właściwie nie musieliśmy pytać, gdyż Monika Zub, dyrektor Biblioteki Politechniki Rzeszowskiej, napisała do nas z własnej inicjatywy już w reakcji na tę wcześniejszą publikację o systemach bibliotecznych:

Dziękujemy za zwrócenie uwagi na problem związany z systemem bibliotecznym Aleph w Politechnice Rzeszowskiej. Podjęliśmy niezwłocznie działania zmierzające do zwiększenia poziomu bezpieczeństwa naszych użytkowników.

Warto też dodać, że choć Politechnika Rzeszowska umożliwiała logowanie się numerem albumu, to jednak logowanie takie było możliwe po osobistej aktywacji konta, w czasie którego podobno informowano o potrzebie zmiany hasła.

Po 28 kwietnia 2017 roku dokonano zmian, które polegały m.in. na wymuszeniu zmiany hasła po pierwszym logowaniu i zastosowaniu jednorazowego pierwszego hasła składającego się z losowego ciągu znaków. Politechnika Rzeszowska zdecydowanie naprawiła sytuację i zrobiła to z własnej inicjatywy.

AGH i zapomniana wyszukiwarka

Problemy z systemami uczelnianymi wykraczają poza biblioteki. Od czasu do czasu ktoś poszpera i nagle znajdzie ciekawy uczelniany serwer, nierzadko z danymi osobowymi. W wrześniu nasz Czytelnik Dawid poinformował nas, że na stronie Akademii Górniczo-Hutniczej w Krakowie dostępna była wyszukiwarka studentów i pracowników uczelni. Wyglądała tak.

Tajemnicza wyszukiwarka AGH

Jeśli wpisało się do wyszukiwarki jedną literę lub sylabę, dostawało się listę studentów na tę literę lub sylabę. Wśród zwracanych danych były imiona, nazwiska, kierunek studiów, semestr i numer albumu.

I już wiedzieliśmy kto gdzie studiuje!

Gdy to zobaczyliśmy zadaliśmy sobie proste pytanie. Po co? Po co komu taka wyszukiwarka?

Ujawnianie numerów albumów może mieć znaczenie. Pisaliśmy już, że dane krakowskich studentów dało się wyciągnąć z systemów MPK właśnie na podstawie numeru indeksu. Opisany wyżej przypadek Politechniki Rzeszowskiej też pokazuje, że ujawnianie takich danych jest ryzykowne.

O sprawie został powiadomiony Bartosz Dębiński — rzecznik prasowy AGH. Krótko po otrzymaniu pytań odpowiedział nam tak:

Wyszukiwarka została wyłączona i tak już zostanie (…) Przyznamy, że niewiele osób o niej wiedziało i również niewiele jej używało (…) Po przeanalizowaniu pańskiego zgłoszenia doszliśmy do wniosku, że ta wyszukiwarka po prostu nie ma sensu, nikt tego nie potrzebuje. Dziękujemy za zgłoszenie sprawy. Dzięki temu możliwe było usunięcie problemu.

Wszystkich 3 użytkowników tej wyszukiwarki bardzo przepraszamy :)

Politechnika Warszawska i SJO

Kolejny przykład z cyklu “stare lub dziwne systemy uczelniane” pochodzi z Politechniki Warszawskiej. Tamtejsze Studium Języków Obcych ma swój system, do którego logujemy się przez taką oto stronę.

Nikt nie prosi o hasło?

Aby się zalogować wystarczy podać wydział, nazwisko i numer albumu. Żadnego hasła. Nasz Czytelnik opisał problem w takich słowach.

Zalogowałem się właściwie pierwszy raz w czasie studiów, do tej pory nie było mi to potrzebne, więc zdziwiłem się, że żeby zalogować się na konto wystarczy podać wydział, imię, nazwisko i numer albumu — czyli właściwie wszystkie te informacje o dowolnym studencie zna połowa jego wydziału i niby nie byłoby w tym nic niebezpiecznego, poza faktem że można w ten sposób odwołać swoje uczestnictwo w egzaminie, więc kilkadziesiąt osób z mojego kierunku może w dowolnej chwili zrobić mi psikusa i wypisać mnie chwilę przed deadlinem, a potem bujaj się człowieku, chodź po dziekanatach, a SJO też do najprzyjemniejszych miejsc nie należy.

Gdy spytaliśmy o sprawę PW. Przedstawiciel uczelni Paweł Dynarowski przedstawił nam takie stanowisko.

Nie uważamy za w pełni bezpieczne to rozwiązanie. Jednak w systemie mamy pełną historię dotyczącą zapisów i odwołań, także w przypadku gdyby ktoś zgłosił, że został wypisany z zajęć moglibyśmy na szybko zareagować i zbadać konkretny przypadek. W każdym razie to były ostatnie takie zapisy, kolejne zapisy będą oparte na CAS (Central Authentication Service) tak jak to jest np. w USOS WEB a niektóre z nich zostaną włączone bezpośrednio do USOS.

Kojarzy się to z problemami bibliotecznymi (“Wiemy, że korzystamy z niebezpiecznego rozwiązania i kiedyś je poprawimy” — w przypadku PW to “kiedyś” ma nastąpić następnym razem)

Uniwersytet Wrocławski i 11000 CV w “głębokim ukryciu”

Problemem serwisów uczelnianych jest również to, że są one rozwijane przez różne podmioty, nie zawsze z dbałością o bezpieczeństwo. Takiej sytuacji dotyczy ostatni przykład, zdecydowanie najpoważniejszy ze wszystkich.

W czerwcu 2016 roku nasz Czytelnik Antoni szukał w internecie informacji o pewnej osobie. Wyszukał jej CV, które znajdowało się wśród 11 tysięcy innych CV i listów motywacyjnych. Były one dostępne publicznie pod adresem https://www.careers.uni.wroc.pl, czyli były to CV przekazane do biura karier uczelni.

Autentyczność dokumentów można było potwierdzić sprawdzając Facebooka, ale my dodatkowo zadzwoniliśmy do kilku osób. Potwierdziły one, że faktycznie składały CV do biura karier i nie miały pojęcia, że ich dane osobowe są upublicznione w ten sposób.

O “wycieku” powiadomiliśmy Uniwersytet Wrocławski. Początkowo nie uzyskaliśmy komentarza bo służby uczelni skupiły się na załataniu wycieku. Dzień po zadaniu pytania otrzymaliśmy następującą wiadomość:

zgodnie z umową świadczenia usługi hostingowej zawartą w dniu 6.05.2013 roku oraz aneksem nr 1 z dnia 15.12.2015 roku firma Internet Center Polska sp. z o.o. świadczy usługę hostingową danych Biura Karier UWr. Do jej obowiązków należy przetwarzanie i właściwe zabezpieczenie znajdujących się na portalu Biura Karier danych osobowych. Po uzyskaniu informacji od Państwa JM Rektor UWr zwrócił się do usługodawcy o jak najszybsze zabezpieczanie danych i pilne wyjaśnienia: w jaki sposób i kiedy doszło do wycieku, jakie działania naprawcze podjęła firma w tej sprawie, jakie działania podjął usługodawca w celu uniemożliwienia osobom postronnym dostępu do danych, które wyciekły z serwera firmy. Po uzyskaniu wyjaśnień Rektor podejmie ewentualne, dalsze kroki prawne.

Z poważaniem
dr Jacek Przygodzki

Na marginesie warto wspomnieć, że zabezpieczenie dostępu do systemów z danymi osobowymi nie jest tylko rozsądnym wyborem. To jest wymóg prawny wynikający z rozporządzenia ministra spraw wewnętrznych w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

Rozporządzenie mówi o trzech poziomach bezpieczeństwa. Poziom wysoki (najwyższy) stosuje się, gdy przynajmniej jedno urządzenie systemu informatycznego połączone jest z siecią publiczną. Na poziomie wysokim system musi być chroniony przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń. Zabezpieczenia logiczne obejmują kontrolę działań inicjowanych z sieci publicznej oraz kontrolę przepływu informacji między systemem administratora danych a siecią publiczną. Ale już na poziomie podstawowym istnieje wymóg, by dostęp do danych był możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.

Uroki studenckiego życia

Już przed laty pisaliśmy o niefrasobliwym podejściu różnych uczelni do danych. Sztandarowym przykładem były indeksy wyłożone na korytarzu bez żadnego nadzoru. Oczywiście takie zachowanie mogło wynikać z założenia, że studenci to grzeczni ludzie i taka okazja nie uczyni z nikogo złodzieja. Niestety studenci mogą odczuć pokusę wykorzystywania błędów nawet po to, aby dać władzom uczelni prztyczka w nos, albo po prostu, jak to studenci, dla jaj.

AKTUALIZACJA
Przepraszamy i chwalimy Politechnikę Rzeszowską

Ten tekst w swojej pierwotnej wersji sugerował, że wypowiedź Moniki Zub (dyrektor Biblioteki Politechniki Rzeszowskiej) została nam przesłana jako odpowiedź na nasze pytania. Był to błąd, bowiem Pani Monika Zub napisała do nas z własnej inicjatywy, reagując na jeszcze wcześniejszy tekst o sytuacji na Politechnice Wrocławskiej. Politechnika Rzeszowska podjęła istotne działania by naprawić sytuację i zrobiła to bez związku z naszymi publikacjami, jeszcze przed ich opublikowaniem.

Tekst został poprawiony, aby te kwestie nie budziły wątpliwości.

Politechnika Rzeszowska przesłała do nas pismo, w którym zwróciła uwagę na tę kwestię, a także odniosła się do komentarza użytkownika “oskar”. Politechnika wyjaśnia, iż hasła udostępniane czytelnikom od maja br. nie są hasłami zapisanymi w systemie, ale hasłami jednorazowymi, wygenerowanymi w celu zresetowania hasła.

Dziękujemy Politechnice za zwrócenie uwagi na nieścisłości i przepraszamy.

AKTUALIZACJA #2 (26.06)

Jeden z naszych Czytelników napisał do nas, że termin “osobista aktywacja konta” nie był całkiem adekwatny do tego, co działo się na politechnice Rzeszowskiej. Tak przynajmniej było w roku 2015.

Otóż po spotkaniu otwierającym rok akademicki dla studentów pierwszego roku odbywa się 10-15 minutowe spotkanie w bibliotece uczelnianej, gdzie bardzo uprzejme Panie organizują szybki kurs z obsługi systemu ALEPH. Wspomniana jednak “osobista aktywacja konta” ogranicza się (jeżeli mnie pamięć nie myli) do podpisania zgody na przetwarzanie danych osobowych. Faktycznie pojawia się również informacja, że po pierwszym logowaniu będzie trzeba zmienić hasło.

W rzeczywistości jednak konta aktywowane są “hurtowo”. Koledzy z roku, którzy na spotkaniu nie byli i zgody nie podpisywali również mieli konta aktywne. Natomiast wymagana zmiana hasła była raczej dobrowolna. Do dzisiaj pamiętam moje zdziwienie, gdy system o żadną zmianę hasła mnie nie poprosił (…) Zastanawia mnie również dlaczego, w ogóle ktoś zmusza do korzystania z oddzielnych danych logowania do systemu bibliotecznego, skoro systemy USOS oraz SIR korzystają z tych samych zestawów danych logowania, tak samo jak poczta uczelniana czy system EDUROAM do łączenia się z uczelnianą siecią Wi-Fi.

Podkreślamy – Czytelnik opisywał sytuację, jaka miała miejsce w roku 2015. Teraz Politechnika wprowadziła lepsze zabezpieczenia.

Przeczytaj także:

36 komentarzy

Dodaj komentarz
  1. Uprzejmie komunikuję, wedle prośby, iż przybywam do tego posta ze snapa ;)

  2. “Czyli problem nie tkwi w systemie ALEPH”. Moim zdaniem problem tkwi w systemie ALEPH. Dobry system powinien mieć deafultowo ustawione wszelkie opcje bezpieczeństwa. Opcje te powinny być wyłączne WPISEM do odpowiedniego pliku konfiguracyjnego. Możliwość nadania hasła identycznego jak login to WADA systemu.

    • Otóż nie. Problem tkwi nie w systemie a w ludziach, którzy są zamknięci na wszelkie sugestie.

    • Pewnie uczelnie chciały mieć możliwość konfiguracji,. Ja nie widzę w tym nic złego, żeby admin sam decydował o sposobie weryfikacji. W niektórych systemach operacyjnych też nie musisz stosować haseł, co nie znaczy że nie wypada tego robić. Ja z reguły nie lubię programów, które wiedzą lepiej jak powinna wyglądać moja konfiguracja.

    • Wtedy hasło będzie: student_nrindeksu

    • Dobry system spełnia założenia, end of story. Z opisu wynika że uczelnie nie prosił o zabezpieczenia które twórcy i tak dodali i następnie prosili uczelnie o ich wdrożenie. Koncepcja zmuszania klienta do określonych zachowań jest gimnazjalna,jeżeli utrudnisz mu życie to zmieni system.

    • Z doświadczenia wiem że niestety większość problemów niestety jest po stronie ludzi z uczelni – bardzo często trzeba było zmieniać reguły haseł “bo są zbyt trudne dla studenta”.

  3. snap, strasznie szybko mówisz.

  4. Pozdrawiam ze SnapFapa!

  5. Trafiłem tu ze snapa. Dodawajcie więcej

  6. Biblioteka Politechniki Rzeszowskiej przechowuje hasła użytkowników w jawnym tekście. Gdy zgłosiłem problem z logowaniem (zapomniane hasło) otrzymałem na karteczce swoje hasło (napisane wielkimi literami, może się pomyliłem przy jego zmianie).

    Wiem od znajomych, że większość z nich w ogóle nie zmieniała hasła. Dalej jest takie samo jak numer indeksu.

  7. snap! Nie używam, ale z chęcią wpłynę na statystyki! )))

  8. Snap! Słaba dykcja, czy stres? :D

    • Możesz udostępnić ten filmik poza snapem?
      Nie mam go.

    • Witam, ktos moze wrzucic gdzies filmik o ktorym pisze Rafal? Z

  9. co to snap?

  10. Przybywam ze Snapchata!
    Niestety, SJO od co najmniej 2009 roku używało tego sposobu “logowania”, z tego, co pamiętam. Najśmieszniejsze było to, że potem te same dane były wywieszane na listach, kto się gdzie dostał ;) PS. niektórzy YouTuberzy korzystający ze Snapchatasprawdzają poziom zainteresowania snapemza pomocą miernika screenshotów;)PS2. Dlaczego na mobilnym FirefoksienaAndroidziedziwnie piszesię komentarze? :(

    • * licznika, nie miernika

  11. Politechnika Wrocławska udostępnia każdmu studentowi indeksy/nazwiska/imiona wszystkich innych i co za tym idzie uczelniane adresy e-mail ;)

  12. Snap!

  13. Wedle prośby, informuje że przybywam ze snapa :)

  14. “Wszystkich 3 użytkowników tej wyszukiwarki bardzo przepraszamy :)”
    LOL. Bylo wiecej uzytkownikow wyszukiwarki. znalam ta wyszukiarke wczesniej i znalam wiecej osob niz 3 ktore znaly ja

    • Zgodnie z zasadami języka polskiego liczebniki do dziesięciu włącznie zapisujemy słownie (od 11 można liczbowo), zatem winno być “Wszystkich trzech użyszkodników”.

  15. Oglądam was ze snapa

  16. Każdemu się zdarzają błedy. Np taki jak ten, coś nie tak ze skryptami:
    “Wszelkie prawa zastrzeżone © 2009- echo date(“Y”); “

    • Tyle lat, a to ciągle działa! :)

  17. Snaaaap

  18. Jestem 10 lat po studiach ale widze, ze syf tam nadal ten sam :/

  19. Przybywam ze Snapchata!

  20. “Ta dziewczyna zna Linuksa!”

    i nawet skrypta w bashu obrobi, dobry materiał na żonę :)

    • Zna też pytona ;o) Ale niestety doświadczenie zdobywała w Toruniu…

    • Do Monter.
      Oj mocno niesmaczny żart ;)

  21. Oj, sporo tego typu przypadków mógłbym podać…
    1) Na Uniwersytecie Ekonomicznym w Poznaniu kiedyś hasłem był PESEL i można było go podawać w nieskończoność (wystarczyło znaleźć czyjąś datę urodzenia w necie i polecieć brute forcem wszystkie kombinacje). W sumie to nie wiem czy dalej nie jest…
    2) Próba dostępu do połowy domen *.put.poznan.pl (np. cpk.put.poznan.pl reprezentująca Centrum Praktyk i Karier czy clc.put.poznan.pl dla Centrum Języków Obcych) kończy się błędem NET::ERR_CERT_COMMON_NAME_INVALID…
    3) Niektóre podstrony uczelniane stoją na Drupalu w wersji sprzed 5-ciu lat…
    4) Na Wydziale Elektrycznym Politechniki Poznańskiej, przy wejściu do dziekanatu leżała kartka do zapisu studentów, gdzie trzeba było podać indeks, imię i nazwisko i się podpisać. Jak na tacy. Bo komuś nie chciało się użerać z zapisującymi się studentami…
    Eh, mech i sto metrów błota.

  22. TO
    NIE
    JA
    !!

    … Jeszcze :D hehe(szek)! Ale tak na poważnie to z tego o co słyszałem przypadkiem to chyba Warszawska akademia sztuk pięknych też ma niezłe sitko dzięki współpracy z pipem :D

    i jak panel admina ukryli :D nie wpisujcie czasem po pe el /wp-login.php :P

  23. To wszystko o czym piszecie, to nie mentalność ludzi, ALE ewidentny brak kar za lekceważenie prawa obowiązującego! A kary MUSZĄ być wymierzone personalnie, a nie w podmiot! Bo to nie podmiot lekceważy, a określone osoby! Najczęściej problem leży w osobie dyrektora z manią wielkości firmy liczoną ilością komputerów na pracownika i miernymi możliwościami finansowymi! W takich sytuacjach kupuje się komputerki z pakietem MS Office, ale już bez infrastruktury bezpieczeństwa!

  24. Takie sytuacje są na porządku dziennym, prosty przykład: WSTI w Katowicach. Logowanie na stronę szkoły nazwiskiem, hasłem jest pesel bez którejś liczby, oczywiście bez możliwości zmiany, tak samo jest na wirtualnej uczelni: logowanie numerem albumu, hasłem jest pełny pesel. Dodatkowo wszystko leci bez szyfrowania…

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: