Iniciar sesión con su número de identificación pública y fecha de nacimiento suena como un gran riesgo de seguridad.
Si la identificación es pública como usted dice, la fecha de nacimiento de la persona asociada con esa identificación se puede descubrir fácilmente. Sería trivial saberlo (si el posible atacante conoce a la víctima, ya que es un sistema localizado), recuperar (por ejemplo, a través de las redes sociales), suponer o forzar la fecha de nacimiento. Brute forzar la fecha de nacimiento en todas las cuentas si las ID son secuenciales sería fácil ya que solo se requeriría un rango de fechas estrecho, asumiendo que la mayoría de los estudiantes nacen aproximadamente el mismo año para un rango dado de ID.
Por supuesto, los estudiantes pueden cambiar sus contraseñas a otra cosa, pero si el sistema no los requiere, el riesgo no se reduce significativamente. Supongo que la mayoría de los usuarios no se molestarán en cambiar su contraseña, ya que su DOB se recuerda fácilmente.
El uso de HTTPS es bueno, aunque no tiene idea de cómo se almacena y asegura la información en sus sistemas de back-end.
Debe hablar con un profesor o con alguien de la universidad con sus inquietudes, aunque a menudo estas inquietudes pueden caer en oídos sordos. Sin embargo, no intentaría probar ninguna vulnerabilidad, ya que hay todas demasiadas historias como esta . Sin embargo, si tiene alguna prueba, podría ser mejor enviarla a la universidad de forma anónima en un papel impreso impreso en una impresora pública para evitar la impresión de La esteganografía te identifica.