8:34
19/4/2017

Na stronach Okręgowej Komisji Egzaminacyjnej uczniowie mogą sprawdzać swoje osiągnięcia. Problem w tym, że login i hasło do kont nie zmieniało się latami, a archiwalne dane były ciągle widoczne. Po sygnale od Czytelnika zgłosiliśmy do OKE zastrzeżenia, a Komisja szybko zdecydowała się wprowadzić zmiany.

Historia zaczyna się od tego zgłoszenia Czytelnika:

Jestem uczniem technikum (aktualnie maturzystą) po wszystkich egzaminach zawodowych, no i maturki tuż tuż. Jako, że oświata wkroczyła w ere komputerów wszystkie wyniki (matur, egzaminów zawodowych, egzaminów gimnazjalnych itd.) dostępne sa online (w moim przypadku na http://wyniki.oke.gda.pl. W sekretariacie odbieramy loginy i hasła do owej strony, ale co ciekawe nigdy się nie zmieniają, co za tym idzie ktoś zdobywając moje hasło np. w szkole gimnazjalnej ma dostęp do moich danych osobowych + wszystkich ważnych egzaminów oświatowych.

To ciekawy problem. W przypadku Czytelnika zgłaszającego sprawę jego login i hasło nie zmienił się “od 4 lat, czyli od czasów gimnazjum”. Zaczęliśmy się zastanawiać, czy takie gromadzenie danych o wynikach egzaminów w ogóle jest konieczne? Rozumiemy, że można użyć internetu do informowania o osiągnięciach, ale tworzenie indywidualnego konta z ciągłym dostępem do “historii edukacyjnej” może budzić pewne wątpliwości, szczególnie jeśli login i hasło nie zmienia się tak długo i dostęp do niego mają osoby z różnych instytucji.

Poprosiliśmy Czytelnika o zrzuty z ekranu, aby dowiedzieć się co można zobaczyć po zalogowaniu. Otrzymaliśmy dwa zrzuty

Imię, nazwisko, wyniki, nawet informacja o dysleksji! Zapewne każdy czułby się bezpieczniej gdyby hasło do takiego konta można było prewencyjnie, co jakiś czas zmienić. Zwróciliśmy się do Okręgowej Komisji Egzaminacyjnej w Gdańsku z pytaniem, czy praktyka nadawania haseł i loginów nie wymaga poprawy.

OKE: Był sposób na zmianę hasła, ale poprawimy system

Krótko po zadaniu pytań odpowiedziała nam wicedyrektor komisji Irena Kulesz.

(…) dziękujemy za przekazanie zastrzeżeń dotyczących naszego serwisu wyniki.oke.gda.pl (…) Od momentu powstania do dnia dzisiejszego nie wpłynęły do Okręgowej Komisji Egzaminacyjnej w Gdańsku skargi czy uwagi dotyczące działania i zawartości ww. strony, której jednym z celów jest także pomoc zdającym (zwłaszcza szkół ponadgimnazjalnych) w złożeniu poprawnej deklaracji przystąpienia do egzaminu oraz od ubiegłego roku sprawdzenie konieczności wniesienia opłaty za zdawane w sesji egzaminy.
Informujemy również, że każdy użytkownik serwisu wyniki.oke.gda.pl mógł wystąpić za pośrednictwem szkoły macierzystej o zmianę hasła dostępu lub zablokowanie konta.
W związku z przekazanymi zastrzeżeniami w dniu dzisiejszym usunęliśmy wszystkie dane archiwalne, a od następnej sesji egzaminacyjnej zmieniamy algorytm tworzenia haseł dostępu.
Jeszcze raz dziękuję i serdecznie pozdrawiam
I.Kulesz

Przyznamy, że byliśmy pozytywnie zaskoczeni. Nie musieliśmy w żaden szczególny sposób tłumaczyć OKE dlaczego hasła powinny być zmieniane częściej. Komisja właściwie mogła poprzestać na wyjaśnieniu, że jest sposób na zmianę hasła. A jednak sama OKE uznała, że trzeba zrobić trochę więcej.

Nie wiemy jak wyglądają podobne sprawy w innych OKE, ale zachowanie gdańskiej komisji może stanowić istotny punkt odniesienia. Szczerze powiedziawszy OKE zaprezentowała się o wiele lepiej niż kiedyś CKE, która przez pewien czas co roku miała jakieś problemy z bezpieczeństwem swoich systemów (por. Próbne matury w głębokim ukryciu).

Przeczytaj także:

11 komentarzy

Dodaj komentarz
  1. Troszku straszny jest brak SSLa w tym logowaniu się usera….

  2. Ale żeście dali do pieca….
    Pokasowali ludziom archiwum….

    ciekawe czy mają backup :D

  3. Wytlumaczcie im zemu nalezy uzywac httpS :-)

  4. Nie wiem czemu chwalicie instytucje/firmy, że szybko reagują. Powinno się piętnować, że nikt nie myśli i dopuszcza do takich działań. Chwalić należy takie firmy, które nie przesyłają danych o koncie bankowym innym podmiotom.

    • Bo ludzie tak mają, że lubią usłyszeć dobre słowo. Więcej można osiągnąć chwaląc niż krytykując.

    • Przy okazji przypominam inna pochwalona w Niebezpieczniku instytucje – niemiecki bank dla Polakow czyli mBank. Otoz otrzymalem odpowiedz na reklamacje – oczywiscie negatywna.
      Winna jest tylko przegladarka, przekazywali dane ale juz nie przekazuja i nie czuja sie winni. Zadnych danych kto to zrobil i jakie byly umowy nie udostepnia bo nie. Odpowiedz jest mailem (pomimo iz zadalem odpowiedzi na pismie). Ale jest uspokajajaca bo mowi ze “Zapewniam więc Pana, że nie istnieje żadne zagrożenie dotyczące bezpieczeństwa Pańskich danych osobowych czy środków na rachunku.”
      W sumie operuja w jakiejs kolonii a nie w metropolii. Niemiecka jakosc obslugi :)

  5. Mnie niepokoi “zmieniamy algorytm tworzenia haseł dostępu”, zwłaszcza, jeżeli algorytm jest istotnie różny od “gen_printable(get_CSPRNG())”…

  6. W takim systemie (mowie na podstawie Synergii) odrebne konto ma nauczyciel, odrebne uczen a odrebne rodzic. I kazde mozna uniewaznic, uniewaznic prawo dostepu (przypadek nauczyciela), konto albo zmienic haslo samemu lub na zyczenie przez obsluge.
    If so then where is the problem? Volenti non fit iniuria….

  7. W OKE Kraków też można przeglądać archiwalne wyniki. Karteczki z kodem dają w szkole. Opcji zmiany hasła nie widzę. Niestety nie mam uchowanej karteczki sprzed 3 lat więc nie wiem czy to samo hasło. Ale przynajmniej jest HTTPS.

    Ale nie wiem o co wam chodzi, kto by się przejmował wynikiem jakiegoś starego bzdurnego egzaminu. ;P

  8. Inna ciekawa sprawa, że podczas egzaminów eksternistycznych czytane sa na głos PESELe i numer dowodu osobistego, kiedy komisja sprawdza tożsamość ludzi z tym co jest na kartce…

    • To tylko wierzchołek góry lodowej. Każde większe szkolenie (np BHP) w firmie i biega po stołach lista żeby się wpisać, a tam rubryczki typu: imię, nazwisko, data urodzin, miejsce urodzenia, adres zamieszkania, PESEL, itp. Od lat tak jest i nie zanosi się, aby ktokolwiek chciał to zmieniać.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: