Question:
Est-ce une faille de sécurité si les adresses des étudiants universitaires sont exposées?
Ghulam Ali
2017-01-04 16:39:24 UTC
view on stackexchange narkive permalink

Je suis désolé pour mon manque de connaissances dans ce domaine.

Mon université (essentiellement une université internationale au Royaume-Uni qui accueille des étudiants de différents pays) a un site Web qui oblige les étudiants à se connecter avant de peuvent accéder aux résultats de leurs examens. Ces résultats incluent également leur nom et leur adresse.

Mais en inspectant la transaction réseau, j'ai découvert qu'elle est allée à une page qui prend directement le numéro d'inscription de l'étudiant dans l'URL et affiche le résultat de l'examen lié à cela. Cette page est accessible sans se connecter au compte étudiant et sans aucun problème, elle m'a donné le résultat de l'examen qui a révélé le nom et l'adresse de l'étudiant. J'ai essayé plusieurs numéros d'enregistrement similaires au mien et tous ont été traités facilement.

Un autre problème est que ces numéros d'enregistrement sont de longueur fixe, ne contiennent que des nombres et sont dans l'ordre croissant. Par exemple, si un numéro d'enregistrement valide est 000001, le suivant serait 000002 et ainsi de suite.

Donc, à mon avis, un attaquant peut facilement créer un programme automatisé qui pourrait générer ces numéros d'enregistrement, de manière aléatoire ou en commander et obtenir les noms et adresses de centaines d'étudiants.

Mes questions sont les suivantes:

  1. Est-il universellement approuvé pour les universités d'exposer les noms et adresses des étudiants?
  2. Est-ce qu'une pratique universellement approuvée pour les universités est qu'une sécurité solide liée au nom et à l'adresse n'est pas importante?
  3. S'agit-il d'une attaque grave et dois-je le leur signaler? Ou peut-il simplement être ignoré?

Mise à jour:

J'ai reçu la réponse de l'université et ils l'ont maintenant corrigée. Merci à tous.

Si l'université se trouve au Royaume-Uni, cela peut constituer une violation de la loi sur la protection des données et si elle n'est pas immédiatement corrigée par l'université, cela peut être signalé au [Bureau du commissaire à l'information] (https://ico.org.uk/ préoccupations / manipulation /) qui peuvent décider de prendre d'autres mesures.
Où est cette université?Les notes sont-elles également accessibles au public?
Vous pourriez envisager de signaler cela de manière anonyme.
Si j'ai bien compris, vous dites que votre université a une page où, compte tenu du numéro d'immatriculation d'un étudiant, on vous donne nom et adresse postale (ou adresse e-mail?), Et éventuellement la note d'un examen?
@daiscog l'université est basée au Royaume-Uni.
@Josh oui je suis vraiment inquiet de savoir comment le signaler, je pense que le rapport anonyme serait bien mieux.Merci.
Merci @daiscog pour le lien, je vais l'examiner.
@Bakuriu, oui totalement correct.Mais en l'affichant, demandez d'abord le nom d'utilisateur et le mot de passe de l'étudiant avant de donner le rapport.Si nous utilisons la vulnérabilité, nous pouvons contourner cette connexion et voir le rapport sans vous connecter.
@GhulamAli Tant que vous restez dans l'UE, c'est un problème très grave dans votre université.C'est clairement illégal en vertu du droit de l'UE.
À moins que vous n'ayez pris des mesures pour masquer votre adresse IP lors des accès d'origine, vous ne pouvez pas vraiment la signaler de manière totalement anonyme.
Le commentaire d'@daiscog's est vraiment la meilleure réponse, je pense.Étant donné que l'université se trouve au Royaume-Uni, il s'agit presque certainement d'une violation de la DPA (violation du principe 7, et probablement aussi des 6 et 8).L'université devrait avoir un bureau / officier de la DPA qui deviendra balistique lorsque vous rapporterez cela (et je pense que vous devriez le faire), et devrait être en mesure d'obtenir des pressions très élevées pour le changer.S'ils ne le résolvent pas rapidement, un rapport à l'ICO, comme suggéré, serait approprié.
La question posée dans le titre, "Est-ce une vulnérabilité de sécurité si ...", a une réponse fondamentalement ambiguë, même dans un scénario aussi clair.L'expression «vulnérabilité de sécurité» peut être définie comme «quelque chose de surprenant que vous puissiez faire avec un système que vous contrôlez» et bien que ce cas soit semi-objectif dans le sens où «eh bien, cela surprendrait certainement les régulateurs gouvernementaux qui émettraient vraisemblablement une fortebien!"il a encore beaucoup de ces caractéristiques de subjectivité.
Voudriez-vous * que votre adresse et votre nom fuient?
Je remercie que l'accès à ces pages sur un étudiant autre que vous-même, tout en comprenant que l'université avait l'intention de les garder privées, serait un crime en vertu de [la section 1 de la loi sur l'utilisation abusive de l'ordinateur] (http://www.legislation.gov.uk / ukpga / 1990/18 / section / 1)
"en inspectant la transaction réseau" - cela implique-t-il également que la connexion n'est pas protégée par un certificat SSL?
Si les adresses des étudiants ne sont que des boîtes aux lettres au bureau de poste du campus, ce serait moins flagrant - mais toujours mauvais.
@w3d la connexion était https mais le site Web utilisait Ajax, alors j'ai regardé dans la source HTML et j'ai trouvé le lien clair qu'il utilisait.
@emory Non, ce ne sont pas des boîtes aux lettres sur le campus.C'est leur adresse personnelle.
Habituellement, tout ce qui est lié au mot «exposé» est mauvais.
Si / quand vous le signalez, je vous suggère de souligner le fait que vous pouvez voir les notes des autres élèves.C'est plus susceptible d'être une violation que d'avoir leurs adresses publiques.Deux fois, j'ai signalé des problèmes similaires à mon ancien collège, et le problème a toujours été bien reçu et résolu rapidement une fois qu'il était parvenu à la bonne personne.
@GhulamAli Par simple curiosité, avez-vous eu l'occasion de le signaler?Si oui, des mesures ont-elles été prises du côté administrateur?
@PriyankGupta Oui, je l'ai signalé il y a 4 jours.Pas encore de réponse.Mais la réponse automatisée à cette adresse e-mail a indiqué qu'ils répondraient dans les 5 jours.
Alors j'ai eu la réponse, la personne m'a dit qu'elle avait transmis mon e-mail au service compétent où le problème sera discuté et ils me contacteront si nécessaire.Je mettrai à jour si je reçois un message supplémentaire.
Neuf réponses:
pri
2017-01-04 16:53:41 UTC
view on stackexchange narkive permalink

Je suis désolé pour mon manque de connaissances dans ce domaine.

Vous ne devriez pas l'être.

Est-ce une pratique universellement approuvée pour les universités d'exposer le nom et l'adresse des étudiants?

Comme indiqué dans les commentaires, cela dépend de vos lois et réglementations locales. Vous devriez certainement le vérifier une fois. Mais la façon dont vous décrivez l'application (changer l'URL pour obtenir les détails, y compris le résultat), cela ressemble à un bogue, qui devrait certainement être signalé.

Est-ce une pratique universellement approuvée pour les universités qu'une sécurité solide liée au nom et à l'adresse n'est pas importante?

Non, que ce soit une université ou une grande multinationale ou une petite entreprise, ou votre propre compte personnel, la sécurité est TOUJOURS importante.

Est-ce une attaque sévère et dois-je la leur signaler? Ou il peut être simplement ignoré?

Oui, vous devez le signaler à l'université, dès que possible. Il ne faut pas l'ignorer.

EDIT: Comme indiqué dans les commentaires, certaines universités autorisent la publication des adresses des étudiants.

Notez que selon l'emplacement de l'Université, cela pourrait être une * énorme * responsabilité juridique / financière ...
@JaredSmith Ou il peut être complètement ignoré, comme le cas couvert par Troy Hunt à propos d'un site Web exposant des informations sur la santé en Inde https://www.troyhunt.com/43-203-indian-patient-pathology-reports-were-left-publicly-exposés-par-des-solutions-de-santé /
Comme je le souligne dans ma réponse [ci-dessous] (http://security.stackexchange.com/a/147245/111626), cette réponse est probablement inexacte.Les universités de la plupart des pays de Five Eyes divulguent publiquement des "informations d'annuaire" avec possibilité de retrait.
@Jedi: OP dit qu'il peut également accéder aux résultats, tandis que le lien que vous avez partagé suggère que GPA / notes ne devraient pas être rendues publiques.Personnellement, je ne voudrais même pas partager mon adresse permanente avec le monde extérieur.De plus, s'il y a une telle facilité par l'université, pour donner les détails des étudiants, alors cela devrait être d'une manière élégante.La façon dont OP décrit la situation (numéro d'enregistrement dans l'URL), cela ressemble à un bogue dans le site Web.
@PriyankGupta exactement.Les universités divisent les informations de classe FERPA en deux catégories «annuaire» et «privé».Grades, DoB est privé, les informations de contact et l'adresse ne le sont pas.«Non, exposer les noms et adresses est une grave violation de la vie privée.» Cette déclaration est donc inexacte.L'exposition des noms et des adresses est autorisée par la politique de confidentialité des États-Unis / Royaume-Uni / etc.les universités.Cela ne signifie pas que la sécurité ou la confidentialité de vos informations personnelles ne sont pas importantes.OP devrait vérifier les lois pertinentes qui s'appliquent à son pays.Les votes positifs sur cette réponse signifieraient que Stanford, MIT, CMU ont tort?
@Jedi: Maintenant que j'ai un exemple de Virginia Tech, j'ai édité la réponse.Merci pour vos contributions!:)
@PriyankGupta pour ne pas être argumentatif mais la réponse est toujours inexacte.Ce n'est pas l'université qui décide.La loi applicable, c'est-à-dire la FERPA aux États-Unis, exige que «les informations de l'annuaire d'un étudiant puissent être communiquées à un demandeur ...» et les étudiants doivent se désinscrire individuellement.Les universités pourraient / devraient être plus sensibles à la vie privée et faciliter le retrait, mais qualifier cela d'attaque sévère sans connaître les faits se précipite vers le jugement.OP doit d'abord vérifier les lois pertinentes et comment elles s'appliquent et [remplir un formulaire si nécessaire] (https://www.cmu.edu/hub/ferpa.html).
@PriyankGupta: À l'Université de Cambridge, les notes sont des informations publiques (elles sont publiées sur les murs du Sénat).OTOH, s'il s'agit d'une université britannique, l'ICO ne sera clairement pas impressionnée.
@Jedu Dans une université dans laquelle je travaillais aux États-Unis, ce serait une ** énorme ** affaire.Nous avons eu un étudiant assassiné par un ex violent parce que quelqu'un lui a donné des informations sur elle qu'ils n'auraient pas dû avoir.Peut-être que cela n'enfreint aucune loi dans 99,999% des cas, mais qu'un étudiant qui s'est retiré peut avoir une très bonne raison.
@JaredSmith la plupart des organisations auront une clause dans le contrat / T & C / etc qui dit essentiellement que vous leur donnez la permission de faire ce qu'elles veulent avec vos informations pour éviter d'être tenu responsable lorsque de tels problèmes se produisent.
@Aequitas ayant ladite clause contractuelle et la voir * effectivement * tenir devant le tribunal sont deux choses différentes.De plus, les universités vivent et meurent en recrutant, ce qui est basé sur la perception du public.Aucune école ne voudrait de ce genre de relations publiques.
@Kat V, La réponse originale peinte avec un pinceau large, et était donc inexacte.Je n'ai aucun problème avec la réponse telle qu'elle est.Il est bon d'entendre parler d'une université prenant des mesures proactives pour améliorer la confidentialité.Cependant, soutiennent-ils leurs actions par une politique écrite qui garantit cela aux étudiants?La perception du public est surfaite.
Même si de nombreuses universités gèrent un annuaire public, il existe souvent un moyen de se désengager ou pour que certaines informations ne soient pas publiques, précisément à cause de situations comme celle mentionnée par @Kat.Il est bien sûr possible que les informations présentées ici soient exactement les mêmes que celles publiées dans un annuaire accessible au public, mais cela devrait être étudié dans le cadre de la détermination de la gravité de cette vulnérabilité.
@MartinBonner grande différence entre publier sur un mur quelque part et pouvoir y accéder en ligne via un possible problème de site Web involontaire.
Le problème fondamental est de violer une attente de confidentialité.Si les élèves s'attendent à ce que l'école rende leur discours public lorsqu'ils donnent cette information à l'école, il n'y a pas de problème.S'ils ne le font pas, et que l'école les laisse exposés, c'est un problème sérieux.Les lois locales définissent simplement les difficultés de l'école. Même si elles ne s'appliquent pas, il y a ici un impératif moral.
Si le collège décide de rendre l'information publique par défaut, il doit le mentionner explicitement lors de l'admission des étudiants, afin que les étudiants ne subissent aucune fausse impression.
iainpb
2017-01-04 19:16:04 UTC
view on stackexchange narkive permalink

Il s'agit d'une vulnérabilité, la façon dont ils ont utilisé des nombres devinables séquencés pour accéder aux enregistrements est une classe de vulnérabilité appelée Insecure Direct Object Reference et est présentée dans le Top 10 de l'OWASP ( https://www.owasp.org /index.php/Top_10_2013-A4-Insecure_Direct_Object_References)

Selon l'endroit où vous vivez dans le monde, l'université peut enfreindre les lois sur la protection des données. À tout le moins, il s'agit d'un mauvais contrôle des données et d'une violation de votre vie privée, vous devriez certainement leur en parler.

Norman Gray
2017-01-05 22:06:20 UTC
view on stackexchange narkive permalink

Étant donné que l'université se trouve au Royaume-Uni, il s'agit presque certainement d'une violation de la DPA 1998. Autrement dit, il ne s’agit pas uniquement d’un problème de «sécurité».

L’adresse du domicile d’un étudiant compterait certainement comme des «données personnelles» au sens de la loi. Le fait que vous puissiez récupérer les données de cette manière est, j'en suis très sûr, une violation du principe 7, et probablement aussi 6 et 8). Les principes sont que les données personnelles doivent être

  1. traitées loyalement et licitement;
  2. traitées à des fins limitées;
  3. adéquates , pertinent et non excessif;
  4. précis;
  5. non conservé plus longtemps que nécessaire;
  6. traité conformément aux droits des utilisateurs;
  7. sécurisé; et
  8. non transférés hors de l'EEE.

Le fait que vous ayez dû très pirater légèrement ceci pour obtenir les informations ne change pas choses: cela signifie que ce n'est pas sécurisé. Le principe 7, dans son intégralité, est «Des mesures techniques et organisationnelles appropriées doivent être prises contre le traitement non autorisé ou illégal des données personnelles et contre la perte ou la destruction accidentelle ou l'endommagement des données personnelles.»

Un dernier degré la classification compterait comme des données publiques, en ce sens qu'une partie de votre contrat avec l'université consiste à dire aux gens que vous avez obtenu votre diplôme. Les marques internes / intermédiaires ne compteraient probablement pas comme des données publiques (et cela signifie «probablement» qu’il faudrait un argument positif selon lequel elles sont considérées comme publiques, avant qu’il ne soit acceptable de les rendre disponibles de cette manière).

L'université devrait avoir un bureau / un officier de la DPA qui deviendra balistique lorsque vous leur rapporterez cela (et je pense que vous devriez le faire), et devrait être en mesure de faire appliquer des pressions très élevées pour changer cela. Ils ne semblent pas faire beaucoup de bruit en réponse à votre rapport, mais j'espère qu'ils prendront des mesures immédiates en interne. S'ils ne le réparent pas rapidement (ou peut-être même si vous ne voyez pas de preuves immédiates qu'ils l'ont fait), alors un rapport à l'ICO, comme suggéré par le commentaire de @ daiscog, serait approprié.

En ce qui concerne la question de signaler cela de manière anonyme, vous pouvez si vous le souhaitez, mais j'espère que cela n'a pas d'importance, et que le bureau du DP serait suffisamment discret ( c'est vraiment leur problème, pas le vôtre). S'il y avait un retour, je suis sûr que l'ICO serait extrêmement intéressée d'en entendre parler.

Je suis en fait le responsable du DP dans notre département universitaire (Royaume-Uni) , et je sais comment le bureau du DP de l'université ou moi-même réagirions en entendant cela.

(J'ai initialement publié ceci sous forme de commentaire, mais après réflexion, je l'ai développé en réponse)

Jedi
2017-01-04 20:28:35 UTC
view on stackexchange narkive permalink

Il est possible que ce soit intentionnel et non considéré comme une fuite d'informations sensibles. Si vous deviez consulter les répertoires en ligne, MIT, CMU, Stanford, et tout autre, je pense à tous les répertoires des étudiants et du personnel.

Les universités des États-Unis sont généralement plus préoccupées par la FERPA, qui protège les dossiers scolaires des étudiants.

Les "informations d'annuaire" telles que le nom, l'adresse, le statut d'inscription et les dates ne sont pas protégées par défaut. Voici une bonne liste de ce qui est considéré comme une information d'annuaire et qui peut être révélé au public. La stipulation pertinente se lit comme suit:

Les informations de l'annuaire d'un étudiant peuvent être communiquées à un demandeur, en dehors de l'Université, à moins que l'étudiant ne demande spécifiquement que les informations de l'annuaire ne soient pas divulguées.

Si j'étais vous, je chercherais une politique de confidentialité avant de contacter l'université. C'est probablement intentionnel. Votre université a probablement une clause d'exclusion pour protéger les informations de votre annuaire.

De plus, la plupart des sites Web ont leurs répertoires sur des listes à ne pas explorer afin que vos enregistrements ne soient pas en ligne sur les moteurs de recherche. Vous pouvez consulter le robots.txt.

Cela étant dit, les notes ne doivent jamais être divulguées. Dans la pratique, dans un cas rare de FERPA, les notes se réfèrent à des notes de lettres / relevés de notes et non à des notes de classe individuelles qui sont parfois considérées comme des "notes du professeur".

Aucune des pages universitaires que vous avez liées n'indique les adresses des étudiants ou du personnel.Ils affichent uniquement les noms des étudiants, les identifiants du campus et les e-mails de l'école.
Pour soutenir @Jedi,, je peux confirmer que Virginia Tech affiche certainement les adresses des étudiants de toute personne qui ne se désactive pas.search.vt.edu/people.jsp
@Yay295: recherche Aiken sur l'annuaire de Stanford [me donne toutes ses informations] (https://stanfordwho.stanford.edu/SWApp/detailAction.do?key=DS036G974&search=aiken&soundex=&stanfordonly=&affilfilter=everyone&filters= the (sure notclosed)le lien persistera).Mon université révèle mes coordonnées et j'ai suivi avec eux pour en savoir plus sur les sections FERPA pertinentes.
@Jedi, qui semble être l'exception, pas la règle.J'ai vérifié 100 résultats aléatoires, et seuls 4 d'entre eux ont montré leur adresse personnelle.Si vous deviez refuser de masquer ces informations, je me serais attendu à ce qu'elle soit plus élevée, il semble donc probable que ces personnes aient spécifiquement choisi de divulguer leur adresse personnelle.
Jusqu'en 2014, le MIT affichait toutes ces informations dans son annuaire https://thetech.com/2014/07/09/mitpeople-v134-n29
@Yay295, la manière dont cela fonctionne dans mon université (pour les adresses personnelles / numéros de téléphone) est que vous remplissez un formulaire fournissant les informations à l'université, ce que vous faites généralement en tant que professeur, personnel ou assistant d'enseignement / de recherche rémunéré.Mon point n'est pas que l'affichage des informations d'adresse est répandu / courant, mais qu'il est légal.Je cite les parties pertinentes de FERPA qui sont applicables.
Le fichier robots.txt n'est pas une mesure de sécurité (en particulier quand il dit "cher Google, s'il vous plaît ne regardez pas supersecretpage", cela peut plutôt aider les attaquants à le trouver)
@HagenvonEitzen bon point.Dans ce cas, il est utilisé comme prévu.Il est destiné à empêcher l'indexation des informations de contact par de "gentils" robots d'exploration afin qu'ils ne s'affichent pas sur une recherche Google par exemple.
Même si OP n'a demandé explicitement que les informations de l'annuaire, à mon avis, vous devriez mettre davantage l'accent sur votre dernier paragraphe: En reliant d'autres informations aux informations de l'annuaire, cela devient un énorme problème qui doit être résolu!
Cette réponse est incorrecte.Le PO se trouve au Royaume-Uni et, par conséquent, les lois du Royaume-Uni / de l'EEE / de l'UE s'appliquent.Les informations personnelles sont des données, ou une combinaison de données, qui peuvent être utilisées pour identifier et individuellement, quel nom et adresse sont certainement.Ces données n'auraient jamais dû être publiées.
@Ben, J'ai manqué la mise à jour d'emplacement d'OP.Je mettrai à jour la réponse en conséquence pour indiquer qu'elle ne vaut que pour les États-Unis.
symcbean
2017-01-04 23:06:48 UTC
view on stackexchange narkive permalink

Bien qu'une réponse ait été acceptée et que Priyank et Iain aient tous deux fait valoir quelques bons points, je pense qu'il vaut la peine de se demander s'il s'agit de données sensibles de manière plus approfondie.

Tout d'abord, il y a quelque chose d'une différence entre les résultats d'examen (en général, un étudiant aura de nombreux examens au cours de ses études) et les qualifications (c'est-à-dire l'attribution finale par l'établissement). Il est donc également possible de déduire si un individu est actuellement étudiant.

Cette information ouvre la porte à toutes sortes de phishing ciblé - des personnes se faisant passer pour un fournisseur de prêt étudiant, offrant un refinancement ou se faisant passer pour un officiel organisations d'anciens élèves.

C'est également un excellent atout pour la fraude d'identité. Bien que je n’ai jamais rencontré de question souhait-c’était à deux facteurs sur l’enseignement supérieur («Quelle était notre première école» semble encore courant), une telle facilité faciliterait les demandes d’emploi / de crédit frauduleuses .

Par conséquent, la question de savoir si cela relève de la politique de confidentialité de l'organisation ou de la réglementation locale est sans objet: cela constitue un manquement au devoir de diligence des fournisseurs envers leurs étudiants / diplômés.

Mais le revers de la médaille est qu'il me semble fou que la seule façon de prouver mes diplômes à quelqu'un qui le demande (par exemple un employeur potentiel) est de leur montrer un bout de papier (relativement facile à simuler). Mais j'imagine que la plupart des gens qui liront ceci seraient capables de trouver des solutions simples et efficaces pour révéler ces informations en toute sécurité.

Les entreprises IME appellent simplement l'école pour confirmer l'obtention de leur diplôme.Je me souviens seulement d'un emploi à l'étranger demandant des relevés de notes en raison d'une loi.Jamais aux États-Unis.
Stig Hemmer
2017-01-05 14:44:52 UTC
view on stackexchange narkive permalink

Personnellement, je suis surtout préoccupé par le fait que le système révèle l ' ID d'inscription des étudiants.

Je ne sais pas comment les choses se passent dans votre université, mais à l'époque où j'étais étudiant, nous avons écrit le RI sur nos feuilles de réponses aux examens afin que les évaluateurs ne sachent pas qui était qui.

Dans votre université, les évaluateurs peuvent rechercher qui est qui et c'est, à mon avis, une grave faille de sécurité.

Les professeurs peuvent de toute façon rechercher les identifiants d'inscription - dans n'importe quelle université où j'ai travaillé, et j'en suis sûr partout ailleurs.Sinon, comment les notes seraient-elles associées au bon élève?Le fait est que, lors de la notation, ils ne savent pas à qui correspond le nombre, afin de réduire les préjugés inconscients.
Tim X
2017-01-06 08:46:12 UTC
view on stackexchange narkive permalink

Si les informations sur les notes des élèves permettent d'identifier personnellement un individu, c'est presque certainement un problème. Si d'un autre côté, tout ce que vous pouvez voir sont les grades associés à un individu inconnu, c'est-à-dire associés à un certain nombre, mais que vous ne pouvez pas déterminer précisément qui ce nombre représente, alors cela ne peut pas être considéré comme un problème de sécurité car on pourrait soutenir que les données ont été anonymisées . Beaucoup dépend de la législation en vigueur sur la protection de la vie privée (très probablement la législation du Royaume-Uni, mais cela peut être affecté par le pays où les données sont hébergées / localisées et les politiques de confidentialité de l'établissement. Par exemple, les étudiants peuvent être tenus d'accepter d'autoriser leur résultat les données sont rendues publiques dans le cadre des conditions générales d'inscription. Cependant, cela est peu probable.

La plupart des pays ont une législation sur la confidentialité qui détermine ce qui est considéré comme des informations privées ou personnelles et, dans certains cas, imposent des responsabilités supplémentaires à l'hébergement organisation en ce qui concerne le niveau d'autorisation qu'ils doivent obtenir de la personne pour rendre les données publiques et les mesures à prendre en cas de divulgation accidentelle ou de violation de données par une sorte de défaillance de sécurité. Par exemple, aux États-Unis, si une entreprise a un incident où des données personnelles est délibérément ou accidentellement compromise et que les données ont des implications financières possibles, telles que l'exposition des détails de la carte de crédit, le l'organisation est tenue de fournir des services de surveillance du crédit aux personnes concernées pendant un certain temps. Certains pays ont également une législation obligatoire sur le signalement et la notification des violations de données, qui oblige l'organisation à informer les individus et souvent une autorité centrale lorsque les données ont été compromises.

Malheureusement, les gouvernements ont eu du mal à élaborer une législation claire et cohérente relative à la confidentialité et à maintenir une législation capable de suivre le rythme de la technologie. Il existe des différences significatives entre les pays avec un accent et des objectifs différents. Par exemple, les États-Unis ont des politiques considérables en matière de confidentialité et de déclaration obligatoire, mais ils ont également une législation relative à la sécurité intérieure et à la lutte contre le terrorisme qui, selon certains, compromet la confidentialité des données personnelles. L'Allemagne et un certain nombre d'autres pays européens ont adopté une législation stricte pour protéger la vie privée. L'Australie a relativement récemment mis à jour sa législation sur la protection de la vie privée, mais a du mal à introduire une législation obligatoire sur le signalement des violations de données, etc.

D'après votre description, je soupçonne que vous avez effectivement découvert une vulnérabilité à l'accès aux données et que vous devriez presque certainement la signaler à l'Université. Malheureusement, il n'est pas toujours facile de savoir comment signaler de tels problèmes. Le premier endroit à vérifier serait d'examiner la politique de confidentialité de l'organisation. Il est également probable que le Royaume-Uni dispose d'une autorité centrale, comme un médiateur de la protection de la vie privée, à qui vous pourriez également signaler ce problème.

Vous devez également savoir que vous devez faire preuve de prudence lorsque vous accédez à ces données, en particulier en utilisant la technique de manipulation d'URL que vous avez décrite ou fournissant des détails spécifiques sur la façon d'accéder aux données. Dans certains pays, on pourrait faire valoir que vous avez enfreint la loi et que vous pourriez être accusé de «piratage». Le rythme des changements techniques, combiné à un manque de compréhension au sein des systèmes législatif et judiciaire, a conduit à une législation mal rédigée et à une interprétation juridique de cette législation. Il y a eu un certain nombre de cas où des individus ont été accusés d'avoir rendu public les vulnérabilités d'accès aux données. Bien que de telles accusations ne donnent généralement pas lieu à une condamnation, il vaut mieux éviter les tracas potentiels que ce type d'accusation entraîne.

user135650
2017-01-08 16:25:02 UTC
view on stackexchange narkive permalink

En effet. Surtout si l'université accepte de garder ces informations privées, cela pourrait être une énorme violation de leurs propres politiques.

iyrin
2017-01-06 14:44:24 UTC
view on stackexchange narkive permalink

Aux États-Unis, le simple fait d'écrire un simple script qui gratte de telles informations peut vous donner une phrase de 3,5 ans. Si l'université n'avait pas l'intention de rendre cette information publique, elle sera considérée comme une vulnérabilité.

+1 C'était la réponse à laquelle je pensais.Parfois, en accédant simplement à un système «protégé» pour voir les données privées de quelqu'un d'autre, quel que soit le laxisme de la sécurité, il y a toujours un risque que le pirate soit condamné à une amende, emprisonné ou les deux.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...