¿Es una vulnerabilidad de seguridad si las direcciones de los estudiantes universitarios están expuestas?

  

Lo siento por mi falta de conocimiento en este asunto.

No deberías estar.

  

¿Es una práctica aprobada universalmente para que las universidades expongan el nombre y las direcciones de los estudiantes?

Como se señala en los comentarios, depende de las leyes y regulaciones locales. Sin duda debes comprobarlo una vez. Pero la forma en que describe la aplicación (cambiando la URL para obtener los detalles, incluido el resultado), suena como un error, que sin duda debe informarse.

  

¿Es una práctica aprobada universalmente para las universidades que la seguridad sólida relacionada con el nombre y la dirección no es importante?

No, ya sea una universidad o una gran empresa multinacional o una pequeña empresa, o su propia cuenta personal, la seguridad SIEMPRE es importante.

  

¿Es un ataque severo y tengo que reportarlo? ¿O simplemente puede ser ignorado?

Sí, debes informarlo a la universidad lo antes posible. No debe ser ignorado.

EDITAR: Como se señaló en los comentarios, hay algunas universidades que sí permiten que las direcciones de los estudiantes se hagan públicas.

Esta es una vulnerabilidad, la forma en que han utilizado números contables secuenciables para acceder a los registros es una clase de vulnerabilidad llamada Referencia de objetos directa insegura y se encuentra en el Top 10 de OWASP ( enlace )

Dependiendo de dónde vive el mundo, la universidad puede estar infringiendo las leyes de protección de datos. Como mínimo, es un mal control de los datos y viola su privacidad personal, sin duda debe informarles sobre esto.

Dado que la universidad está en el Reino Unido, es casi seguro que se trata de una violación de la DPA 1998 . Es decir, esto no es un problema de "seguridad".

La dirección del hogar de un estudiante ciertamente contaría como "datos personales" dentro de los términos de la Ley. El hecho de que pueda recuperar los datos de esta manera es, estoy muy seguro, una violación del principio 7, y probablemente 6 y 8 también. Los principios son que los datos personales deben ser

1. procesado de manera justa y legal;
2. procesado para fines limitados;
3. adecuado, relevante y no excesivo;
4. precisa;
5. no se conserva por más tiempo del necesario;
6. procesado de acuerdo con los derechos de los usuarios;
7. seguro; y
8. no transferido fuera del EEE.

El hecho de que tuviste que muy piratear esto ligeramente para obtener la información no cambia las cosas: significa que no es seguro. El Principio 7, en su totalidad, es "Se deben tomar medidas técnicas y organizativas adecuadas contra el procesamiento no autorizado o ilegal de datos personales y contra la pérdida o destrucción accidental de datos personales".

Una clasificación final de grado contaría como información pública, en el sentido de que parte de tu contrato con la universidad es que le dirían a las personas que te has graduado. Las marcas internas / intermedias probablemente no contarán como datos públicos (y eso "probablemente" significa que tendría que haber un argumento positivo de que sí contaron como públicos, antes de que estuviera bien hacerlos disponibles de esta manera).

La universidad debe tener una oficina / oficial de la DPA que se enfurecerá cuando les informe esto (y creo que debería), y debería poder aplicar una presión muy importante para cambiarla. Puede que no parezcan molestarles mucho en respuesta a su informe, pero espero que tomen medidas inmediatas de manera interna. Si no lo solucionan rápidamente (o quizás incluso si no ve pruebas inmediatas de que lo hayan hecho), entonces un informe a la ICO , como sugiere el comentario de @ daiscog, sería adecuado.

Con respecto a la cuestión de informar esto de forma anónima, puede hacerlo si lo desea, pero espero que no importe, y que la Oficina del PD sea apropiadamente discreta (este es su problema, no el suyo). Si hubiera alguna respuesta, estoy seguro de que el ICO estaría extremadamente interesado en saberlo.

En efecto, soy el oficial del PD en nuestro departamento universitario (Reino Unido), y sé cómo responderíamos yo o la oficina del PD de la universidad al escuchar esto.

(Originalmente publiqué esto como un comentario, pero en la reflexión lo amplié en una respuesta)

Es posible que sea por diseño y no se considere como una fuga de información confidencial. Si tuviera que consultar los directorios en línea, MIT , CMU , Stanford , y cualquier otra que yo piense en todas las listas públicas de alumnos y directorios del personal.

Las universidades en los Estados Unidos generalmente están más preocupadas por FERPA , que protege los registros educativos de los estudiantes.

La "información de directorio" como el nombre, la dirección, el estado de inscripción y las fechas no están protegidas de forma predeterminada. Aquí es una buena lista de lo que califica como información de directorio y puede ser Revelado al público. La estipulación relevante dice:

  

La información del directorio de un estudiante puede ser revelada a un investigador, fuera de la Universidad, a menos que el estudiante solicite específicamente que se oculte la información del directorio.

Si fuera tú, buscaría una política de privacidad antes de comunicarme con la universidad. Es probable que sea intencional. Es probable que su universidad tenga una cláusula de exclusión para proteger la información de su directorio.

Además, la mayoría de los sitios web tienen sus directorios en listas de no rastrear para que sus registros no estén en línea en los motores de búsqueda. Puede consultar el robots.txt .

Dicho esto, las calificaciones nunca deben ser reveladas. En la práctica, en un caso raro de FERPA , las calificaciones se refieren a las calificaciones de letras / transcripciones y no a las calificaciones individuales en el aula, que a veces son considerado como "notas del profesor".

Aunque se ha aceptado una respuesta y tanto Priyank como Iain hacen algunos buenos puntos, creo que vale la pena analizar la cuestión de si se trata de datos confidenciales con mayor profundidad.

En primer lugar, hay una diferencia entre los resultados de los exámenes (por lo general, un estudiante tendrá muchos exámenes durante el curso de estudio) y las calificaciones (es decir, el premio final otorgado por la institución). Por lo tanto, también es posible inferir si una persona es actualmente un estudiante.

Esta información abre la puerta a todo tipo de phishing dirigido: personas que pretenden ser proveedores de préstamos estudiantiles, que ofrecen refinanciación o que pretenden ser organizaciones de ex alumnos oficiales.

También es un gran activo para el fraude de identidad. Aunque nunca me he topado con una pregunta de wish-it-was-two-factor sobre la educación superior ("Qué era nuestra primera escuela "todavía parece común) tal instalación facilitaría solicitudes de trabajo / crédito fraudulentas.

Por lo tanto, la pregunta sobre si esto cae dentro de la política de privacidad de las organizaciones o la regulación local es discutible: constituye una negligencia en el deber de atención de los proveedores a sus estudiantes / graduados.

Pero la otra cara de esto es que me parece una locura que la única forma en que puedo demostrar qué títulos tengo ante alguien que pregunta (por ejemplo, un posible empleador) es mostrarles un poco de papel (relativamente fácil de falsificar ). Pero me imagino que la mayoría de las personas que lean esto podrían pensar en soluciones simples y efectivas para revelar de manera segura dicha información.

Personalmente, me preocupa principalmente que el sistema muestre el ID de registro de los estudiantes.

No sé cómo están las cosas en tu universidad, pero en mi época de estudiante, escribimos el RI en las hojas de respuestas de nuestros exámenes para que los estudiantes no supieran quién era quién.

En su universidad, los graduados pueden buscar quién es quién y eso es, en mi opinión, una grave violación de seguridad.

Si la información sobre las calificaciones de los estudiantes puede identificar personalmente a una persona, esto Es casi seguro que es un problema. Si por otro lado, todo lo que puedes ver son los grados asociados con algún individuo desconocido, es decir, asociado con algún número, pero no puede determinar con precisión a quién representa ese número, entonces puede que no ser considerado un problema de seguridad, ya que podría argumentarse que los datos han sido anonimizado Mucho depende de la legislación de privacidad vigente (lo más probable es que la La legislación del Reino Unido, pero esto puede verse afectado por el país donde los datos son Alojado / localizado y las políticas de privacidad de la institución. Por ejemplo, los estudiantes pueden estar obligados a aceptar permitir que sus datos de resultados se hagan Público como parte de los términos y condiciones de inscripción. Sin embargo, esto es improbable.

La mayoría de los países tienen leyes de privacidad que determinan lo que se considera como Información privada o personal y, en algunos casos, imponer responsabilidades en la organización de alojamiento con respecto a qué nivel de permiso que deben obtener del individuo para hacer públicos los datos y qué acciones que deben tomar en caso de que los datos se divulguen accidentalmente o se violen a través de algún tipo de fallo de seguridad. Por ejemplo, en los Estados Unidos, si una empresa tiene una incidente en el que los datos personales se comprometen de forma deliberada o accidental y que los datos tienen posibles implicaciones financieras, como la exposición del crédito Detalles de la tarjeta, la organización está obligada a proporcionar servicios de monitoreo de crédito. a las personas afectadas por un período de tiempo. Algunos países también tienen obligatorias legislación sobre notificación y notificación de violación de datos, que requiere la organización para notificar a las personas y, a menudo, una autoridad central cuando los datos tienen ha sido comprometido.

Desafortunadamente, los gobiernos han luchado por desarrollarse de manera clara y consistente. legislación relativa a la privacidad y mantener una legislación que sea capaz de seguir el ritmo de la tecnología Existen diferencias significativas entre países. Con diferentes énfasis y objetivos. Por ejemplo, los Estados Unidos tienen considerables políticas relacionadas con la privacidad y la notificación obligatoria, pero también tienen legislación relativa a la seguridad de la patria y el antiterrorismo que algunos consideran compromete la privacidad de los datos personales. Alemania y una serie de otros europeos Los países tienen diferentes leyes para proteger la privacidad personal. Australia ha actualizado relativamente recientemente la legislación de privacidad personal, pero está luchando introducir una legislación obligatoria sobre el incumplimiento de datos, etc.

Por su descripción, sospecho que efectivamente ha descubierto un acceso a datos vulnerabilidad y es casi seguro que debe informarlo a la Universidad. Desafortunadamente, no siempre es fácil averiguar cómo reportar tales cuestiones. El primer lugar para verificar sería mirar la privacidad de la organización. política. También es probable que el Reino Unido tenga una autoridad central, como una política de privacidad. Defensores del Pueblo, a los que también podría informar este problema.

También debe tener en cuenta que debe ser variado y tener cuidado al acceder a este datos, especialmente utilizando la técnica de manipulación de URL que describió o que proporciona Detalles específicos sobre cómo acceder a los datos. En algunos países, podría Se puede argumentar que usted ha violado la ley y podría ser acusado de 'seco'. El ritmo del cambio técnico combinado con una falta de comprensión. dentro de los sistemas legislativo y judicial ha dado lugar a algunos mal redactados Legislación e interpretación jurídica de dicha legislación. Ha habido un Número de casos en que se ha cobrado a individuos por la divulgación de acceso a datos. vulnerabilidades Si bien tales cargos generalmente no resultan en una condena, la Se evitan las posibles molestias que este tipo de carga trae consigo.

De hecho. Especialmente si la universidad acepta mantener dicha información privada, esto podría ser una gran violación de sus propias políticas.

En los EE. UU., simplemente escribiendo un script simple que elimine dicha información puede obtener un 3,5 años de sentencia . Si la universidad no tenía la intención de hacer pública esta información, se considerará una vulnerabilidad.