Soru:
Üniversite öğrencilerinin adreslerinin açığa çıkması bir güvenlik açığı mıdır?
Ghulam Ali
2017-01-04 16:39:24 UTC
view on stackexchange narkive permalink

Bu konudaki bilgi eksikliğim için özür dilerim.

Üniversitemde (temelde farklı ülkelerden öğrencileri olan Birleşik Krallık'ta uluslararası bir üniversite), öğrencilerin onlardan önce oturum açmalarını gerektiren bir web sitesi var. sınav sonuçlarına erişebilir. Bu sonuçlar aynı zamanda Adlarını ve Adreslerini de içeriyor.

Ancak ağ işlemini inceleyerek, URL'deki öğrenci kayıt numarasını doğrudan alan ve bununla ilgili sınav sonucunu gösteren bir sayfaya gittiğini öğrendim. Bu sayfaya öğrenci hesabına giriş yapmadan ve herhangi bir güçlük çekmeden erişilebilir, bana öğrenci adını ve adresini açığa çıkaran sınav sonucunu verdi. Benimkine benzer birden fazla kayıt numarası denedim ve hepsi kolayca işlendi.

Diğer bir sorun da bu kayıt numaralarının sabit uzunlukta olması, sadece rakam içermesi ve artan sırada olmasıdır. Örneğin, geçerli bir kayıt numarası 000001 ise, sonraki numara 000002 vb. Olacaktır.

Bence bir saldırgan, bu kayıt numaralarını rastgele veya rastgele oluşturabilecek otomatik bir program oluşturabilir. sipariş verin ve yüzlerce öğrencinin adlarını ve adreslerini alın.

Sorularım:

  1. Öğrencilerin adlarını ve adreslerini ifşa etmek üniversiteler için evrensel olarak onaylanmış bir uygulama mı?
  2. İsim ve adresle ilgili güçlü güvenliğin önemli olmadığı, evrensel olarak onaylanmış bir uygulama mı?
  3. Bu ciddi bir saldırı mı ve bunu onlara bildirmem gerekiyor mu? Yoksa sadece görmezden gelinebilir mi?

Güncelleme:

Üniversiteden cevabı aldım ve şimdi bunu düzelttiler. Hepinize teşekkürler.

Üniversite Birleşik Krallık'taysa, bu Veri Koruma Yasasının ihlali olabilir ve Üniversite tarafından hemen düzeltilmezse [Bilgi Komisyonu Ofisine] (https://ico.org.uk) bildirilebilir./ endişeler / işleme /) kimler daha fazla işlem yapmaya karar verebilir.
Bu üniversite nerede?Notlar da herkese açık mı?
Bunu isimsiz olarak bildirmeyi düşünebilirsiniz.
Doğru anladıysam, üniversitenizde öğrencinin matrikülasyon numarası verildiğinde, size adınızı ve posta adresinizi (veya e-posta adresinizi) ve muhtemelen bir sınavın notunu verdikleri bir sayfa olduğunu söylüyorsunuz?
@daiscog üniversite İngiltere merkezlidir.
@Josh evet Nasıl rapor edeceğim konusunda gerçekten endişeliyim, anonim olarak bildirmenin çok daha iyi olacağını düşünüyorum.Teşekkürler.
@daiscog bağlantı için teşekkürler, onu inceleyeceğim.
@Bakuriu, evet tamamen doğru.Ancak görüntüleyerek, rapor vermeden önce öğrencinin kullanıcı adını ve şifresini isteyin, Eğer güvenlik açığını kullanırsak, bu girişi atlayabilir ve oturum açmadan raporu görebiliriz.
@GhulamAli Siz hâlâ AB'de olduğunuz sürece, bu üniversitenizin çok ciddi bir sorunu.AB yasalarına göre açıkça yasadışı.
Orijinal erişimler sırasında IP adresinizi gizlemek için adımlar atmadıysanız, tam olarak anonim olarak bildiremezsiniz.
@daiscog's yorumu gerçekten en iyi cevap bence.Üniversite Birleşik Krallık'ta olduğu için, bu neredeyse kesinlikle DPA'nın ihlalidir (7. ilkenin ve muhtemelen 6. ve 8. ilkelerin de ihlali).Üniversitenin, bunu bildirdiğinizde balistik gidecek bir DPA ofisi / memuru olmalıdır (ve bence yapmanız gerekir) ve bunu değiştirmek için çok üst düzey baskı uygulayabilmelidir.Derhal düzeltmezlerse, önerildiği gibi ICO'ya bir rapor vermek uygun olacaktır.
"Bu bir güvenlik açığı mı ..." başlığında sorulan soru, böylesine net bir senaryoda bile temelde belirsiz bir cevaba sahip."Güvenlik açığı" ifadesi, "kontrol ettiğiniz bir sistemle yapabileceğiniz şaşırtıcı bir şey" olarak tanımlanabilir ve bu dava yarı nesnel olsa da, "muhtemelen bu, büyük olasılıkla bir güvenlik açığı çıkaracak olan hükümet düzenleyicilerini şaşırtacaktır.ince!"hala bu öznellik özelliklerinin çoğuna sahiptir.
Adresinizin ve adınızın sızdırılmasını * ister misiniz?
Üniversitenin onları gizli tutmayı amaçladığını anlarken, kendinizden başka herhangi bir öğrenciyle ilgili bu sayfalara erişmenin [bilgisayarın kötüye kullanımı yasasının 1. bölümü] (http://www.legislation.gov.uk / ukpga / 1990/18 / bölüm / 1)
"ağ işlemini inceleyerek" - bu aynı zamanda bağlantının bir SSL sertifikası ile korunmadığı anlamına mı geliyor?
Öğrencilerin adresleri kampüs postanesindeki posta kutuları ise, bu daha az korkunç olur - ama yine de kötü olur.
@w3d bağlantı https idi, ancak web sitesi Ajax kullanıyordu, bu yüzden HTML kaynağına baktım ve kullandığı açık bağlantıyı buldum.
@emory Hayır, kampüsteki posta kutuları değil.Bu onların kişisel adresi.
Genellikle, "açığa çıkma" kelimesiyle ilgili olan her şey kötüdür.
Bildirirseniz / bildirdiğinizde, diğer öğrencilerin notlarını görebileceğiniz gerçeğini vurgulamanızı öneririm.Bu, adreslerinin herkese açık olmasını sağlamaktan daha büyük olasılıkla ihlaldir.İki kez, önceki üniversiteme benzer sorunları bildirdim ve sorun her zaman iyi karşılandı ve doğru kişiye ulaştığında hızlı bir şekilde çözüldü.
@GhulamAli Merak ediyorum, şikayet etme şansınız oldu mu?Varsa, yönetici tarafından herhangi bir işlem yapıldı mı?
@PriyankGupta Evet 4 gün önce bildirmiştim.Henüz cevap yok.Ancak bu e-posta adresine otomatik yanıt, 5 gün içinde yanıt vereceklerini söyledi.
Bu yüzden yanıtı aldım, kişi bana e-postamı konunun tartışılacağı ilgili departmana ilettiğini ve gerekirse benimle iletişime geçeceklerini söyledi.Başka mesaj alırsam güncelleme yapacağım.
Dokuz yanıtlar:
pri
2017-01-04 16:53:41 UTC
view on stackexchange narkive permalink

Bu konudaki bilgi eksikliğim için üzgünüm.

Yapmamalısınız.

Evrensel olarak onaylanmış bir uygulama mı üniversitelerin öğrencilerin isimlerini ve adreslerini ifşa etmesi için?

Yorumlarda belirtildiği gibi, bu sizin yerel kanun ve yönetmeliklerinize bağlıdır. Kesinlikle bir kez kontrol etmelisiniz. Ancak başvuruyu açıklama şekliniz (sonuç dahil ayrıntıları almak için URL'yi değiştirmek), kesinlikle rapor edilmesi gereken bir hata gibi görünüyor.

Üniversiteler için evrensel olarak onaylanmış bir uygulama mı ad ve adresle ilgili güçlü güvenlik önemli değil mi?

Hayır, ister üniversite, ister büyük bir ÇUŞ veya küçük bir işletme veya kendi kişisel hesabınız, güvenlik HER ZAMAN önemlidir.

Bu ciddi bir saldırı mı ve bunu onlara bildirmem gerekiyor mu? Ya da basitçe görmezden gelinebilir mi?

Evet, bunu mümkün olan en kısa sürede üniversiteye bildirmelisiniz. Göz ardı edilmemelidir.

DÜZENLEME: Yorumlarda belirtildiği gibi, öğrencilerin adreslerinin herkese açık olmasına izin veren bazı üniversiteler vardır.

Üniversitenin konumuna bağlı olarak bunun * çok büyük * bir yasal / finansal sorumluluk olabileceğini unutmayın ...
@JaredSmith Ya da Troy Hunt'ın Hindistan'daki sağlık bilgilerini ifşa eden bir web sitesi hakkında kapladığı vakada olduğu gibi tamamen göz ardı edilebilir https://www.troyhunt.com/43-203-indian-patient-pathology-reports-were-left-publicly-sağlıkla-maruz-çözümler /
Cevabımda [aşağıda] belirttiğim gibi (http://security.stackexchange.com/a/147245/111626), bu cevap büyük olasılıkla yanlıştır.Beş Göz ülkesinin çoğundaki üniversiteler, "dizin bilgilerini" bir çıkma olasılığı ile birlikte kamuya açıklar.
@Jedi: OP, sonuçlara erişebildiğini söylerken, paylaştığınız bağlantı not ortalaması / notların herkese açık hale getirilmemesi gerektiğini gösteriyor.Şahsen ben kalıcı adresimi bile dış dünya ile paylaşmak istemem.Ayrıca üniversitede öğrencilerin ayrıntılarını verecek böyle bir tesis varsa, o zaman zarif bir şekilde olmalı.OP'nin durumu açıklama şekli (URL'deki kayıt numarası), web sitesinde bir hata gibi görünüyor.
@PriyankGupta tam olarak.Üniversiteler, FERPA sınıfı bilgileri "dizin" ve "özel" olarak iki kategoriye ayırır.Notlar, DoB özeldir, iletişim bilgileri ve adresi değildir.'Hayır, isimleri ve adresleri ifşa etmek ciddi bir mahremiyet ihlalidir.' Bu nedenle bu ifade yanlıştır.İsimlerin ve adreslerin ifşa edilmesine ABD / İngiltere / vb. Gizlilik politikası tarafından izin verilmektedir.üniversiteler.Bu, kişisel bilgilerinizin güvenliğinin veya gizliliğinin önemli olmadığı anlamına gelmez.OP, ülkesi için geçerli olan ilgili yasaları kontrol etmelidir.Bu yanıttaki olumlu oylar Stanford, MIT, CMU'nun yanlış olduğu anlamına mı gelir?
@Jedi: Artık bir Virginia Tech örneğim olduğuna göre, cevabı düzenledim.Girişleriniz için teşekkürler!:)
@PriyankGupta tartışmaya açık olmasa da cevap hala yanlış.Karar veren üniversite değil.İlgili yasa, yani ABD'deki FERPA, `` Bir öğrencinin dizin bilgilerinin sorgulayıcıya verilebilmesini ... '' ve öğrencilerin bireysel olarak vazgeçmeleri gerektiğini şart koşmaktadır.Üniversiteler mahremiyete daha duyarlı olabilir ve bu durumdan çıkmayı kolaylaştırabilir, ancak gerçekleri bilmeden buna ciddi bir saldırı demek, yargılamaya koşuyor.OP öncelikle ilgili yasaları ve bunların nasıl uygulanacağını kontrol etmeli ve [gerekirse bir form doldurmalıdır] (https://www.cmu.edu/hub/ferpa.html).
@PriyankGupta: Cambridge Üniversitesi'nde notlar halka açık bilgilerdir (Senato Binasının duvarlarında yayınlanır).OTOH, eğer burası bir İngiltere üniversitesiyse, ICO belirgin bir şekilde etkilenmeyecek.
@Jedu ABD'de çalıştığım bir üniversitede, bu ** çok büyük ** bir anlaşma olurdu.Tacizci bir eski tarafından öldürülen bir öğrencimiz vardı çünkü biri ona sahip olmaması gereken bilgiler verdi.Belki vakaların% 99,999'unda herhangi bir yasayı çiğnemiyordur, ancak vazgeçen bir öğrencinin çok iyi bir nedeni olabilir.
@JaredSmith çoğu kuruluşun sözleşmede / T & C / vb. Gibi aksaklıklar meydana geldiğinde sorumlu tutulmalarını önlemek için bilgilerinizle istedikleri her şeyi yapmalarına izin verdiğinizi belirten bir madde olacaktır.
@Aequitas'nin sözleşme maddesini söylemiş olması ve * aslında * mahkemede geçerli olması iki farklı şeydir.Ayrıca üniversiteler, halkın algısına dayanan işe alım yoluyla yaşar ve ölür.Hiçbir okul bu tür bir PR vuruşu istemez.
@Kat V, Orijinal yanıt geniş bir fırçayla boyanmış ve bu nedenle yanlıştı.Cevap olduğu haliyle hiçbir tartışmam yok.Mahremiyeti iyileştirmek için proaktif önlemler alan bir üniversiteyi duymak güzel.Ancak, bunu öğrencilere garanti eden yazılı bir politikayla eylemlerini destekliyorlar mı?Halkın algısı abartılıyor.
Pek çok üniversitenin halka açık bir dizini işletmesine rağmen, @Kat'nin bahsettiği gibi durumlar nedeniyle, genellikle vazgeçmenin veya bazı bilgilerin halka açık olmamasının bir yolu vardır.Elbette, buradaki bilgilerin herkese açık bir dizinde yayınlananlarla tamamen aynı olması mümkündür, ancak bu güvenlik açığının ciddiyetini belirlemenin bir parçası olarak araştırılması gerekir.
@MartinBonner, bir duvarda bir yerde yayınlamak ile olası bir kasıtsız web sitesi aksaklığı aracılığıyla bunlara çevrimiçi olarak erişebilmek arasındaki büyük fark.
Temel sorun, mahremiyet beklentisinin ihlal edilmesidir.Öğrenciler, okula bu bilgiyi verdiklerinde okuldan adreslerini kamuya açıklamalarını beklerlerse sorun yoktur.Yapmazlarsa ve okul açığa çıkmalarına izin verirse, bu ciddi bir sorundur.Yerel yasalar sadece okulun ne kadar sıkıntı içinde olduğunu tanımlar. Uygulamamış olsalar bile burada ahlaki bir zorunluluk vardır.
Üniversite, bilgiyi varsayılan olarak herkese açık hale getirmeye karar verirse, öğrencileri kabul ederken açıkça belirtmelidir, böylece öğrenciler herhangi bir yanlış izlenime maruz kalmazlar.
iainpb
2017-01-04 19:16:04 UTC
view on stackexchange narkive permalink

Bu bir güvenlik açığıdır, kayıtlara erişmek için sıralı tahmin edilebilir sayılar kullanma biçimleri, Güvensiz Doğrudan Nesne Referansı adlı bir güvenlik açığı sınıfıdır ve OWASP İlk 10'da ( https://www.owasp.org /index.php/Top_10_2013-A4-Insecure_Direct_Object_References)

Dünyanın neresinde yaşadığınıza bağlı olarak, üniversite veri koruma yasalarına aykırı olabilir. En azından zayıf veri kontrolü ve kişisel mahremiyetinizi ihlal ediyor, kesinlikle onlara bundan bahsetmelisiniz.

Norman Gray
2017-01-05 22:06:20 UTC
view on stackexchange narkive permalink

Üniversite İngiltere'de olduğu için, bu neredeyse kesinlikle DPA 1998 ihlalidir. Yani, bu dar anlamda bir "güvenlik" sorunu değildir.

Bir öğrenci ev adresi Yasa hükümleri kapsamında kesinlikle "kişisel veri" olarak sayılacaktır. Verileri bu şekilde alabileceğiniz gerçeği, eminim ki 7. ilkenin ve muhtemelen 6 ve 8. ilkenin ihlalidir). İlkeler, kişisel verilerin

  1. adil ve yasal bir şekilde işlenmesi;
  2. sınırlı amaçlar için işlenmesi;
  3. yeterli olmasıdır , alakalı ve aşırı değil;
  4. doğru;
  5. gerekenden daha uzun süre saklanmayan;
  6. kullanıcıların haklarıyla uyumlu olarak işlendi;
  7. güvenli; ve
  8. AEA dışına aktarılmadı.

Bilgileri almak için bunu çok hafifçe kırmanız gerektiği gerçeği değişmez şeyler: güvenli olmadığı anlamına gelir. İlke 7, tam olarak, 'Kişisel verilerin yetkisiz veya hukuka aykırı olarak işlenmesine ve kişisel verilerin kaza sonucu kaybolmasına, yok edilmesine veya zarar görmesine karşı uygun teknik ve organizasyonel önlemler alınacaktır. "

Son derece Üniversite ile olan sözleşmenizin bir kısmının insanlara mezun olduğunuzu söylemesi anlamında, sınıflandırma halka açık veri olarak sayılır. Dahili / ara puanlar muhtemelen halka açık veri olarak sayılmayacaktır (ve bu "muhtemelen", bu şekilde kullanılabilir hale gelmeden önce herkese açık olarak sayıldıklarına dair olumlu bir argüman olması gerektiği anlamına gelir).

Üniversitenin, bunu kendilerine bildirdiğinizde balistik gidecek bir DPA ofisi / memuru olmalıdır (ve bence yapmanız gerekir) ve bunu değiştirmek için çok yüksek baskı uygulayabilmelidir. Raporunuza yanıt olarak pek yaygara koparmıyor gibi görünebilirler, ancak umarım dahili olarak derhal harekete geçerler. Derhal düzeltmezlerse (veya belki de bunu yaptıklarına dair hemen kanıt görmeseniz bile), önerildiği gibi ICO'ya rapor @ daiscog'un yorumu doğru olacaktır.

Bunu isimsiz olarak bildirme sorusuna gelince, istersen yapabilirsin, ama umarım önemli olmaz ve DP Ofisi uygun şekilde sağduyulu olur ( bu onların sorunu, senin değil). Herhangi bir geri dönüş olsaydı, eminim ICO bunu duymakla son derece ilgilenirdi.

Aslında (Birleşik Krallık) üniversite departmanımızdaki DP görevlisiyim ve ben ya da üniversite DP ofisinin bu konuyu duyduğuma nasıl tepki vereceğini biliyorum.

(Başlangıçta bunu bir yorum olarak yayınladım, ancak derinlemesine düşündüğümde cevabı genişlettim)

Jedi
2017-01-04 20:28:35 UTC
view on stackexchange narkive permalink

Tasarım gereği olması ve hassas bilgilerin sızıntısı olarak düşünülmemesi mümkündür. Çevrimiçi dizinlere, MIT, CMU, Stanford ve diğerlerine bakacak olsaydınız, düşündüğüm diğer tüm öğrenciler ve personel dizinlerini herkese açık olarak listeleyin.

Amerika Birleşik Devletleri'ndeki üniversiteler genellikle öğrenci eğitim kayıtlarını koruyan FERPA konusunda daha endişelidir.

Ad, adres, kayıt durumu ve tarihler gibi "Dizin bilgileri" varsayılan olarak korunmamaktadır. Burada dizin bilgileri olarak nitelendirilen ve herkese açıklanabilecek iyi bir liste var. İlgili şart şu şekildedir:

Öğrenci özellikle dizin bilgilerinin saklanmasını talep etmediği sürece, öğrencinin dizin bilgileri Üniversite dışındaki bir sorgulayıcıya verilebilir.

Yerinde olsam, üniversiteyle iletişime geçmeden önce bir gizlilik politikası arardım. Muhtemelen kasıtlı. Üniversitenizde dizin bilgilerinizi korumak için büyük olasılıkla bir vazgeçme maddesi vardır.

Ayrıca, kayıtlarınızın arama motorlarında çevrimiçi olmaması için çoğu web sitesinin dizinleri taramayın listelerinde yer alır. robots.txt dosyasını kontrol etmek isteyebilirsiniz.

Bununla birlikte, notlar asla açıklanmamalıdır. Uygulamada, nadir bir FERPA vakasında, notlar mektup / transkript notlarına atıfta bulunur ve bazen "öğretim üyesi notları" olarak kabul edilen bireysel sınıf puanlarına atıfta bulunur.

Bağlandığınız üniversite sayfalarının hiçbiri öğrenci veya personel adreslerini göstermiyor.Yalnızca öğrenci adlarını, kampüs kimliklerini ve okul e-postalarını gösterirler.
@Jedi,'yi desteklemek için Virginia Tech'in kesinlikle vazgeçmeyenlerin öğrenci adreslerini gösterdiğini onaylayabilirim.search.vt.edu/people.jsp
@Yay295:, Stanford dizininde Aiken'i arıyor [bana tüm bilgilerini veriyor] (https://stanfordwho.stanford.edu/SWApp/detailAction.do?key=DS036G974&search=aiken&soundex=&stanfordonly=&affilfilter=everyone&filters=closed) (emin değilim)bağlantı devam edecek).Üniversitem ayrıntılarımı açıklıyor ve ilgili FERPA bölümleri hakkında bilgi edinmek için onları takip ettim.
Kural değil istisna gibi görünen @Jedi,.100 rastgele sonucu kontrol ettim ve sadece 4 tanesi ev adresini gösterdi.Bu bilgileri gizlemek için vazgeçmeniz gerekse, daha yüksek olmasını beklerdim, bu yüzden bu insanlar özellikle ev adreslerini vermeyi seçmiş gibi görünüyor.
MIT, 2014 yılına kadar tüm bu bilgileri https://thetech.com/2014/07/09/mitpeople-v134-n29 dizininde görüntüledi.
@Yay295 üniversitemde çalışma şekli (ev adresleri / telefon numaraları için), genellikle fakülte, personel veya ücretli öğretim / araştırma asistanı olarak yaptığınız, üniversiteye bilgi sağlayan bir form doldurmanızdır.Demek istediğim, adres bilgilerini görüntülemenin yaygın / yaygın olması değil, yasal olması.FERPA'nın geçerli olan ilgili kısımlarını aktarıyorum.
robots.txt bir güvenlik önlemi değildir (özellikle "sevgili google, lütfen süper gizli sayfaya bakmayın" dediğinde, bu saldırganların onu bulmasına yardımcı olabilir)
@HagenvonEitzen iyi bir nokta.Bu durumda amaçlandığı gibi kullanılır.Kişi bilgilerinin "güzel" tarayıcılar tarafından endekslenmesini önlemek içindir, böylece örneğin bir Google aramasında açılmasınlar.
OP sadece dizin bilgilerini açıkça sorsa da, bence son paragrafınıza daha fazla vurgu yapmalısınız: Diğer bilgileri dizin bilgilerine bağlayarak, bu ele alınması gereken büyük bir sorun haline gelir!
Bu cevap yanlıştır.OP Birleşik Krallık'tadır ve bu nedenle Birleşik Krallık / AEA / AB yasaları geçerlidir.Kişisel bilgiler, isim ve adresin kesinlikle olduğu, tanımlamak ve kişisel olmak için kullanılabilecek her türlü veri veya veri kombinasyonudur.Bu veriler asla yayınlanmamalıydı.
@Ben, OP'nin konum güncellemesini kaçırdım.Yanıtı, yalnızca ABD için geçerli olduğunu belirtmek için uygun şekilde güncelleyeceğim.
symcbean
2017-01-04 23:06:48 UTC
view on stackexchange narkive permalink

Bir yanıt kabul edilmiş ve hem Priyank hem de Iain bazı iyi noktalara değinmiş olsa da, bunun hassas veriler olup olmadığı sorusuna daha derinlemesine bakmaya değer olduğunu düşünüyorum.

Öncelikle, bir şey var sınav sonuçları (tipik olarak bir öğrencinin öğrenim gördüğü süre boyunca birçok sınavı olacaktır) ve nitelikleri (yani kurum tarafından verilen final ödülü) Dolayısıyla, bir bireyin şu anda öğrenci olup olmadığını anlamak da mümkündür.

Bu bilgi, öğrenci kredisi sağlayıcısı gibi davranan, yeniden finansman sunan veya resmi gibi davranan her türden hedeflenen kimlik avına kapı açar mezun organizasyonları.

Aynı zamanda kimlik sahtekarlığı için büyük bir değerdir. Yüksek öğrenimle ilgili iki faktörlü olmayı diliyorum sorusuna hiç rastlamamış olsam da ("ilk okulumuz neydi" hâlâ yaygın görünüyor) böyle bir tesis dolandırıcılık amaçlı iş / kredi başvurularını kolaylaştırabilir .

Bu nedenle, bunun kuruluşun gizlilik politikası veya yerel yönetmelik kapsamına girip girmediği sorusu tartışmalıdır: Bu, sağlayıcıların öğrencilerine / mezunlarına karşı bakım yükümlülüğünü ihmal eder.

Ancak bunun diğer tarafı, soran birine (örneğin olası bir işverene) ne derece sahip olduğumu kanıtlayabilmemin tek yolunun onlara biraz kağıt göstermek (taklit etmesi görece kolay) olması bana çılgınca geliyor. Ancak bunu okuyan çoğu insanın bu tür bilgileri güvenli bir şekilde ifşa etmek için basit ve etkili çözümler düşünebileceğini hayal ediyorum.

IME şirketleri, mezuniyeti onaylamak için okulu arar.Sadece bir yasa nedeniyle transkript isteyen denizaşırı bir işi hatırlıyorum.Asla eyaletlerde.
Stig Hemmer
2017-01-05 14:44:52 UTC
view on stackexchange narkive permalink

Kişisel olarak, sistemin öğrencilerin kayıt kimliklerini ifşa etmesinden en çok endişe duyuyorum.

Üniversitenizde işlerin nasıl yürüdüğünü bilmiyorum, ancak öğrenci olarak benim zamanımda UR'yi sınav cevap sayfalarımıza yazdık, böylece not verenler kimin kim olduğunu bilmesinler.

Üniversitenizde, sınıf öğrencileri kimin kim olduğuna bakabilir ve bu bence ciddi bir güvenlik ihlali olabilir.

Öğretim üyeleri yine de kayıt kimliklerine bakabilir - çalıştığım herhangi bir üniversitede ve eminim başka herhangi bir yerde.Notlar, doğru öğrenciyle başka nasıl ilişkilendirilebilir?Önemli olan şu ki, not verirken, bilinçsiz önyargıyı azaltmak için sayının kime karşılık geldiğini bilmiyorlar.
Tim X
2017-01-06 08:46:12 UTC
view on stackexchange narkive permalink

Öğrenci notlarıyla ilgili bilgiler şahsen bir kişiyi tanımlayabiliyorsa, bu neredeyse kesinlikle bir sorundur. Öte yandan, görebildiğiniz tek şey bilinmeyen bir kişiyle ilişkilendirilmiş, yani bir sayı ile ilişkilendirilmiş sürümler ise, ancak bu sayının kimi temsil ettiğini tam olarak belirleyemiyorsanız, bu durumda verilerin anonimleştirildiği iddia edilebileceği için bir güvenlik sorunu olarak görülmeyebilir. . Pek çok şey, yürürlükteki gizlilik mevzuatına bağlıdır (büyük olasılıkla İngiltere mevzuatı, ancak bu, verilerin barındırıldığı / bulunduğu ülkeden ve kurumun gizlilik politikalarından etkilenebilir. Örneğin, öğrencilerin sonuçlarına izin vermeyi kabul etmeleri gerekebilir. veriler, kayıt hüküm ve koşullarının bir parçası olarak halka açıktır. Ancak, bu olası değildir.

Çoğu ülkede, neyin özel veya kişisel bilgi olarak kabul edildiğini belirleyen ve bazı durumlarda, barındırma konusunda ek sorumluluklar yükleyen gizlilik mevzuatı vardır. Verileri kamuya açık hale getirmek için kişiden hangi düzeyde izin almaları gerektiği ve verilerin yanlışlıkla ifşa edilmesi veya viasom bir tür güvenlik arızasının ihlal edilmesi durumunda hangi eylemleri almaları gerektiği konusunda organizasyon. Örneğin, ABD'de bir şirketin kişisel verilerin bulunduğu bir kazası varsa kasıtlı olarak veya kazara tehlikeye atılmışsa ve verilerin, kredi kartı ayrıntılarının ifşa edilmesi gibi olası mali sonuçları olması durumunda, Kuruluşun etkilenen kişilere bir süre için kredi izleme hizmetleri sağlaması gerekmektedir. Bazı ülkelerde zorunlu veri ihlali raporlama ve bildirim yasaları da vardır ve bu yasalar, kuruluşun verileri tehlikeye attığında kişilere ve genellikle merkezi bir makama bildirmesini gerektirir.

Maalesef hükümetler, gizlilik ve sürdürme ile ilgili açık ve tutarlı yasalar geliştirmek için mücadele ettiler. teknolojiye ayak uydurabilen mevzuat. Ülkeler arasında önemli farklılıklar var farklı vurgu ve hedeflerle. Örneğin, ABD'nin mahremiyet ve zorunlu raporlamayla ilgili önemli politikaları vardır, ancak aynı zamanda iç güvenlik ve terörle mücadele ile ilgili bazılarının kişisel verilerin gizliliğini tehlikeye attığını düşündüğü bir mevzuat da vardır. Almanya ve diğer bazı Avrupa ülkelerinde kişisel mahremiyeti korumak için değişen güçlü yasalar vardır. Australiah, nispeten yakın zamanda kişisel gizlilik mevzuatını güncelledi, ancak zorunlu veri ihlali raporlama mevzuatı vb. Getirmekte zorlanıyor.

Açıklamanıza göre, gerçekten bir veri erişimi savunmasızlığı keşfettiğinizi ve bunu neredeyse kesin olarak Üniversiteye bildirmeniz gerektiğini düşünüyorum. Ne yazık ki, bu tür sorunları nasıl bildireceğinizi öğrenmek her zaman kolay değildir. Kontrol edilecek ilk yer, kuruluşun gizlilik politikasına bakmak olacaktır. Ayrıca Birleşik Krallık'ta, bu sorunu da bildirebileceğiniz, privacyombudsmen gibi merkezi bir otoriteye sahip olma ihtimali de vardır.

Ayrıca, bu verilere erişirken, özellikle de bu verileri kullanırken çok dikkatli olmanız gerektiğini de bilmelisiniz. tanımladığınız veya verilere nasıl erişileceğiyle ilgili özel ayrıntılar sağlayan URL işleme tekniği. Bazı ülkelerde, kanunları çiğnediğiniz ve 'korsanlıkla' suçlanabileceğiniz iddia edilebilir. Teknik değişimin hızı, yasama ve yargı sistemlerindeki anlayış eksikliğiyle birleştiğinde, bazı mevzuatın kötü bir şekilde tasarlanmasına ve bu mevzuatın hukuki yorumlanmasına neden olmuştur. Veri erişim güvenlik açıklarını kamuoyuna duyurmakla suçlanan birçok vaka olmuştur. Bu tür suçlamalar genellikle bir mahkumiyetle sonuçlanmasa da, bu tür bir suçlamanın beraberinde getirdiği potansiyel zorluklardan en iyi şekilde kaçınılabilir.

user135650
2017-01-08 16:25:02 UTC
view on stackexchange narkive permalink

Gerçekten. Özellikle üniversite bu tür bilgileri gizli tutmayı kabul ederse, bu kendi politikalarının büyük bir ihlali olabilir.

iyrin
2017-01-06 14:44:24 UTC
view on stackexchange narkive permalink

ABD'de, yalnızca bu tür bilgileri toplayan basit bir komut dosyası yazmak size 3,5 yıl hapis cezası verebilir. Üniversite bu bilgileri herkese açık hale getirme niyetinde değilse, bu bir güvenlik açığı olarak kabul edilecektir.

+1 Düşündüğüm cevap buydu.Bazen, başkasının özel verilerini görmek için yalnızca "korumalı" bir sisteme erişmek, güvenlik ne kadar gevşek olursa olsun, bilgisayar korsanının para cezasına çarptırılması, hapse atılması veya her ikisinin birden riski her zaman vardır.


Bu Soru-Cevap, otomatik olarak İngilizce dilinden çevrilmiştir.Orijinal içerik, dağıtıldığı cc by-sa 3.0 lisansı için teşekkür ettiğimiz stackexchange'ta mevcuttur.
Loading...