Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.
18:01

Wyszukiwarki studentów, publiczna lista usterek i niebezpieczne punkty ksero, czyli uczelnianych wpadek cz. IV

Opisywanie wpadek bezpieczeństwa na uczelniach wyższych to już nasza tradycja. W poprzednich trzech odcinkach pisaliśmy m.in. o wyciekach CV studentów i niedociągnięciach systemów bubliotecznych, ujawnianiu dokumentów z PESEL-ami oraz o koparkach kryptowalut na stronach uczelni. To wszystko było okraszone drobniejszymi klasycznymi wpadkami w stylu “brak BCC” albo “głębokie ukrycie”.

Kontynuujemy cykl i od razu ujawniamy, że w tym odcinku mamy przypadki dotyczące następujących uczelni:

  • Akademia Górniczo-Hutnicza w Krakowie (po raz czwarty w naszym cyklu :)),
  • Politechnika Warszawska (również po raz czwarty!),
  • Politechnika Wrocławska (po raz drugi!),
  • Uniwersytet Ślaski w Katowicach (po raz trzeci!),
  • Politechnika Śląska (po raz drugi)
  • Akademii Morska w Gdyni,
  • Uniwersytet Mikołaja Kopernika w Toruniu,
  • Uniwersytet Ekonomiczny w Katowicach,
  • Uniwersytet Ekonomiczny we Wrocławiu.

Poza tym wspomnimy o wątpliwości co do komputerów w punkcie ksero Wyższej Szkoły Informatyki i Zarządzania w Rzeszowie. Wrócimy też do tematu studniówek i powzdychamy do Ministerstwa Sprawiedliwości za ciągłe ignorowanie problemu bezpieczeństwa osób zdających egzamin adwokacki czy radcowski.

Zaczynamy.

Akademia Górniczo-Hutnicza i wyszukiwarki oraz pliki z hasłami

Ciągle powracającym problemem jest uruchamianie przez uczelnie różnych wyszukiwarek studentów. Na stronie wydziału geologii AGH w Krakowie znalazł się interesujący formularz.

Pod innym adresem była nowsza wersja tego samego narzędzia! Wpisanie do tej wyszukiwarki czyjegoś nazwiska zwracało imiona, nazwiska i numery albumu.

Jeszcze ciekawsze wyniki dostawało się wpisując w pierwszym polu cyfrę “1”.

W pierwszej wersji wyszukiwarki naliczyliśmy ponad 8,4 tys. zestawów imię, nazwisko, numer.

Czytelnik, który powiadomił nas o tej wyszukiwarce, znalazł również publicznie dostępny plik PDF z nazwiskami i numerami PESEL 147 osób, którym przyznano lub nie przyznano miejsc w domu akademickim. Dokument zawierał także imię ojca, informacje o dochodzie na osobę oraz o złożeniu wniosku o stypendium socjalne.

Ostatnią z ciekawostek wypatrzonych na serwerze AGH był plik o niepokojącej nazwie passwd.txt. Zawierał ponad 2,4 tys. wierszy takich jak te.

Wszystko co tutaj opisaliśmy zostało usunięte kilka godzin po tym, jak zgłosiliśmy sprawę AGH. Myśleliśmy, ze to będzie koniec, ale potem nasz Czytelnik wyszperał coś takiego.

Ten plik akurat to nie był żaden wyciek. Pensje były zbyt wysokie, a nazwisk nie udało się skojarzyć z pracownikami uczelni. Biuro prasowe AGH szybko zapewniło nas, że to prawdopodobnie plik stworzony na potrzeby jakichś zajęć.

Politechnika Warszawska – wyszukiwarka studentów

Na pewnej stronie ciągle znajduje fajna wyszukiwarka studentów PW. Wystarczy wpisać kilka znaków, aby znaleźć nazwiska zawierające dany łańcuch.

Kliknięcie na wynik wyszukiwania wyświetla informacje o przedmiotach, na które dany student jest zapisany.

Narzędzie interesujące, ale jednak niebezpieczne (przynajmniej naszym zdaniem). Adres, na którym wyszukiwarka ciągle jest dostępna, nie należy do uczelni. Autor wyszukiwarki udostępnił skrypt na Githubie i po jego pobieżnym przejrzeniu można było ustalić, że pobiera on dane z systemu ERES2 udostępnianego przez samą Politechnikę. Dane z systemu można było przeglądać także bez skryptu, posługując się zwykłą przeglądarką. Obecnie system nie udostępnia tak wielu danych jak wcześniej.

Do autora skryptu trudno mieć pretensje skoro stworzył jedynie narzędzie ułatwiające przeglądanie publicznie dostępnych informacji. Tylko co na to uczelnia, która udostępniła nazwiska z numerami albumów? Już nie raz pisaliśmy, że udostępnianie tak zorganizowanych danych może być niebezpieczne.

Zgłosiliśmy sprawę Politechnice. Rzeczniczka PW Izabela Koptoń-Ryniec po 6 dniach poinformowała nas, że “dostęp do numerów albumów i zajęć studentów został zablokowany”, a ponadto “ogólnodostępność danych w systemie ERES zakwalifikowano jako incydent bezpieczeństwa”.

W odniesieniu do stron pozostających poza domeną uczelni tj. pw.edu.pl, Politechnika Warszawska nie jest ich administratorem, w związku z czym nie ma możliwości edycji danych na tych stronach zawartych.
Jednocześnie administratorzy stron pozostających w domenie pw.edu.pl zostali poinformowani o odpowiedzialności z tytułu publikowania danych osobowych.
W najbliższym czasie zostanie również przygotowana informacja na potrzeby poszczególnych Wydziałów Politechniki Warszawskiej, o tym jakie dane mogą być publikowane na ogólnodostępnych stronach uczelni.

Politechnika Śląska – zmiana ocen była możliwa

Jeden z naszych Czytelników – Grzegorz – niegdyś związany z Politechniką Śląską, odnalazł na pulpicie stacji roboczej w sali laboratoryjnej plik o nazwie lab_pro_lite. Domyślił się, że była to wersja systemu  LabPro z roku 2006 (Lab Pro to internetowy katalog do zajęć laboratoryjnych). Grzegorz nie wiedział, czy była to wersja wykorzystywana jako robocza wersja dla studentów, czy jako materiał dydaktyczny. Prosta analiza struktury katalogów dała jednak wiedzę o tym gdzie znajdują się backupy bazy danych.

Grzegorz zauważył, że dane dostępowe na konta administracji nie różnią się pomiędzy zrzutem bazy z 2014 roku a tym z 2018. Ustalił, że można uzyskać dostęp do systemu oceniania, danych personalnych, zmiany ocen. Nie wykorzystał tego dostępu w złośliwy sposób, ale też nie był pewien czy i jak to zgłosić. Postanowił przekazać sprawę nam, a my skontaktowaliśmy się z Politechniką.

Po przeanalizowaniu sprawy rzecznik uczelni Paweł Doś przekazał nam następujące wyjaśnienie.

Wymieniona wersja i plik były użytkowane w wymienionej sali laboratoryjnej przez studentów wyłącznie w celach przykładowej instalacji i wypełnienia podstawowymi danymi prostego systemu wspomagania prowadzenia elektronicznego katalogu zajęć laboratoryjnych, jakim jest oprogramowanie Labpro. Oczywiście wymieniony plik nie powinien pozostać na pulpicie żadnego komputera po zakończeniu wymienionych zajęć, ponieważ stwarzało to m.in. zagrożenie wykorzystania jego zawartości w sposób zasygnalizowany przez Państwa. Zawartość komputerów w salach laboratoryjnych jest cyklicznie odtwarzana do stanu początkowego, obsługa wymienionych sal laboratoryjnych zwiększyła częstotliwość takiego odtwarzania i wprowadziła dodatkowe ograniczenia.

Uczelnia przekazała nam jeszcze dodatkowe informacje o skali problemu i podjętych działaniach.

a) zasady sporządzania backupu systemu Labpro zostały zmienione, na wymienionym serwerze nie są aktualnie sporządzane i przechowywane kopie zapasowe systemu;
b) wszystkie hasła dostępowe zostały zmienione, zarówno tzw. administratorów, jak i kilkunastu nauczycieli, którzy korzystają z systemu, oraz studentów, którzy za pomocą systemu komunikują się z nauczycielami;
c) system Labpro jest systemem o niewielkim zasięgu, jest wykorzystywany w jednej jednostce wewnętrznej Politechniki Śląskiej, obecnie przez kilkunastu nauczycieli akademickich; w systemie są stosowane sztywne reguły tworzenia dedykowanych loginów oraz hasła niepowiązane z innymi systemami Uczelni, co zdecydowanie ogranicza możliwość wykorzystania ew. ujawnionych danych;
d) system Labpro ma charakter narzędzia wspierającego komunikację pomiędzy nauczycielem pracującym z sekcją laboratoryjną i studentami z takiej sekcji – wystawiania ocen cząstkowych za poszczególne zadania, przesyłania raportów i informacji zwrotnych; do wprowadzania przez nauczycieli akademickich ocen dokumentujących formalnie zaliczenie wszelkich form zajęć dydaktycznych na Politechnice Śląskiej służą inne systemy, w szczególności  System Obsługi Toku Studiów  z modułem EKOS (Elektroniczny Katalog Ocen Studenta) oraz Platforma Zdalnej Edukacji;
e) żaden z nauczycieli akademickich nie zgłosił niepoprawności we wprowadzonych w systemie Labpro ocenach i przesłanych sprawozdaniach; system dokumentuje wewnętrznie każde logowanie i opatruje wszystkie wprowadzane oceny i sprawozdania znacznikiem czasowym; przegląd tych logów i logów serwera nie wykazał niepoprawności we wprowadzaniu danych do systemu (oprócz nietypowych aktywności związanych z dostępem do folderu backups w roku 2014 i 2018);
f) w systemie w odniesieniu do studentów są wykorzystywane mimimalne dane: imię, nazwisko, dane związane z logowaniem i przynależność do grupy studenckiej; ograniczono elementy funkcjonalności systemu Labpro, które nie były intensywnie wykorzystywane, a które są udostępniane przez inne systemy uczelni, m.in. Platformę Zdalnej Edukacji; w szczególności ograniczono dostęp do materiałów pomocniczych do domeny Politechniki Śląskiej.

Politechnika Warszawska – system usterek

Wydział Matematyki i Nauk Informacyjnych PW rozwiązał problem usterek poprzez informatyzację. Na specjalnej stronie uruchomiono system zgłaszania i monitorowania usterek.

Wiedza o usterkach jest podwójnie cenna. Po pierwsze, łatwo się podać za kogoś kto przyszedł naprawić okno w pokoju pracowników albo – co gorsza – przyszedł naprawić komputer czy drukarkę. Po drugie, niektóre usterki dotyczyły systemów dostępu.

Cała ta wiedza dostępna bez logowania! Wystarczyło znać adres strony do zgłaszania, a skoro my go poznaliśmy to inni też mogli.

Po raz kolejny mieliśmy przyjemność z panią rzecznik PW Izabelą Koptoń-Ryniec.

Bardzo dziękujemy za zasygnalizowanie problemu. System zgłaszania usterek, o który Państwo pytają, miał w założeniu służyć zgłaszaniu usterek błahych, nie stanowiących poprzez sam fakt upublicznienia zgłoszenia, zagrożenia dla wydziału lub uczelni. Pragniemy podkreślić, że dostęp do pomieszczeń umożliwia nie tylko karta, ale i zwykły klucz. Dodatkowo sale są zabezpieczone monitoringiem i całodobową ochroną gmachu. Kwestia zmiany systemu, tak aby administrator po zgłoszeniu ukrywał informacje krytyczne, była już przez nas badana w związku z czym podejmować będziemy dalsze działania w kierunku racjonalizacji funkcjonowania systemu. Niemniej w okresie przejściowym postanowiliśmy zabezpieczyć cały system hasłem, co już nastąpiło.

Racjonalizacja systemów bezpieczeństwa. Piękne pojęcie. Oby każdy! Oby częściej!

Politechnika Wrocławska i “dziwna właściwość poczty”

To był bardzo ciekawy problem. Studenci PWr korzystają z poczty studenckiej, którą cechują adresy w formacie nr_indeksu@student.pwr.edu.pl. Nasza Czytelniczka przy okazji wykonywania pewnego zadania zorientowała się, że po skonfigurowaniu poczty w programie zewnętrznym mogła wysłać e-maile z dowolnych adresów bez żadnych danych uwierzytelniających! Co więcej…

z ciekawości podmieniłam mail źródłowy na dziekanat@pwr.edu.pl i również po wykonaniu programu otrzymałam na swoją skrzynkę maila z dziekanatu!!! Pokazałam tę właściwość kilku znajomym i prowadzącemu, wzajemnie z różnych adresów źródłowych  wysyłaliśmy sobie maile o różnej treści. Oczywiście tylko w gronie studenckim i w ramach testów, ale zaszokowało nas to, że w ten sposób możemy wysłać komuś, czy to prowadzącemu, czy studentowi maila z dziekanatu, od rektora, od innego prowadzącego czy studenta – od każdego z pwr do każdego z pwr o dowolnej treści.

Na szczęście nie można było wysłać maila z tego serwera na inne np. Gmail, bo to wymagało uwierzytelniania. Mimo to “dziwna właściwość poczty” stwarzała wiele zagrożeń.

Studenci ostrzegali się wzajemnie w tej sprawie. My zaś podpytaliśmy władze uczelni, które przesłały nam oświadczenie “iinformatyków”.

Odnośnie braku autoryzacji zapewniamy, że zostanie ona włączona dla poczty wewnętrznej. Dla poczty wysyłanej na zewnątrz zawsze była wymagana. Dodatkowo trwają prace nad wprowadzeniem zmian w konfiguracji systemu pocztowego. Mają one na celu ograniczenie możliwości wysyłania poczty w domenie uczelni z dowolnego MTA. Proces wprowadzania zmian konfiguracji jest długotrwały. Szacujemy zakończenie wspomnianych prac podczas najbliższej przerwy międzysemestralnej.

Jednocześnie informujemy, iż nie są nam znane przypadki wykorzystania słabości protokołu SMTP na Politechnice Wrocławskiej. Pracownicy mają możliwość stosowania w klientach pocztowych certyfikatów osobistych X509, umożliwiających podpisywanie i szyfrowanie korespondencji.”

Do czasu naprawienia poczty radzimy… w ogóle nie ufać w autentyczność nadawców w wewnętrznej poczcie PWr.

Politechnika Wrocławska – usterka aplikacji

Nasz Czytelnik zauważył ciekawą lukę w aplikacji ASAP Politechniki Wrocławskiej. Aplikacja umożliwiała m.in. pobranie zaświadczenia o samodzielnym napisaniu pracy dyplomowej.

Problem w tym, że link do oświadczenia miał dość przewidywalny format.

Można było zmienić m.in. ID autora, aby pobrać zaświadczenie innej osoby.

Można było również zmienić document_id aby pobrać zaświadczenie dla pracy z innym tytułem, ale to wydaje się mniejszym problemem.

Uczelnia zareagowała szybko, ale niestety ASAP jest produktem dostarczonym przez zewnętrznego dostawcę.

Obecnie pracujemy nad wdrożeniem zabezpieczenia tymczasowego.  Jednocześnie monitorujemy serwis pod kątem nieuprawnionego dostępu użytkowników do danych innych kont – napisał Andrzej Charytoniuk z Działu Informacji i Promocji PWr.

Dzień później dostaliśmy informację, że problem został rozwiązany, tzn. możliwość pobierania „obcych” dokumentów została zablokowana.

Uniwersytet Mikołaja Kopernika w Toruniu

Na stronie UMK znalazły się niezabezpieczone katalogi z plikami.

Były tam m.in. zadania egzaminacyjne z odpowiedziami, materiały edukacyjne i puste formularze (np. deklaracje dotyczące prac dyplomowych). Jeden z naszych Czytelników widział tam plik o nazwie passwords.txt. My się do niego nie dokopaliśmy, ale za to znaleźliśmy potwierdzenia przelewów z danymi osobowymi oraz dokumenty wypełniony wniosek o stypendium z oświadczeniem o dochodach. Dane nie wyglądały na przypadkowe.

Uczelnia stwierdziła, że “adres należy do studenta” i “dyrektor Instytutu zwrócił się już do niego z prośbą o jak najszybsze zablokowanie swoich danych”. Nie wiemy na jakiej zasadzie uczelnia udostępnia swoim studentom powierzchnię na serwerze, ale jeśli trzymacie jakieś dane na jej serwerach to upewnijcie się, czy są one bezpieczne.

Uniwersytet Ekonomiczny w Katowicach

Na początku marca wyciekły dane części studentów Uniwersytetu Ekonomicznego w Katowicach. Doszło do wysłania do studentów wiadomości, która zawierała załącznik z peselami, numerami dowodów i adresami zamieszkania razem z aneksem do umowy. Uczelnia postanowiła ostrzec studentów, że mogą naruszyć prawo rozpowszechniając dalej ujawnione w ten sposób dane.

Wiele osób odebrało tę wiadomość jako rodzaj groźby. My natomiast chcieliśmy wiedzieć więcej o wycieku, więc 9 marca 2018 r. spytaliśmy o sprawę Marka Kiczkę, rzecznika Uniwersytetu.

Odpowiedź otrzymaliśmy następnego dnia roboczego.

Miejsce wycieku danych dotyczyło wyłącznie Wydziału Zarządzania i obejmowało dane około stu studentów.

Początkowo znamiona wycieku wskazywały na błędy systemu, jednak w drodze weryfikacji określono, iż był to błąd ludzki oraz zła interpretacja działania programu do obsługi studentów.

Wyciek został zauważony wieczorem w piątek 23 lutego br. Niezwłocznie w sobotę rano usunięte zostały e-maile z danymi z systemu wirtualny dziekanat. W trosce o zabezpieczenie danych oraz z uwagi na bezpieczeństwo samych studentów, w poniedziałek wysłano do studentów e-mail informujący o wycieku i konieczności permanentnego usunięcia danych oraz ich ewentualnych kopii (Uniwersytet nie ma możliwości ingerowania w prywatne skrzynki studentów).

Jednocześnie zabezpieczone zostały informacje o tym, które dane trafiły do studentów. Zweryfikowano również, czy do wycieku nie doszło na pozostałych wydziałach, pouczono pracowników oraz podjęto decyzję o przeprowadzeniu szkoleń z zakresu ochrony danych osobowych. Specjalne szkolenie odbyło się 9 marca br. Wobec osób odpowiedzialnych za wyciek wyciągnięto konsekwencje. Uniwersytet wyraża żal z powodu zaistniałej sytuacji i dołoży wszelkich starań, by zdarzenia takie nie miały więcej miejsca.

Reakcja dobra. Zwłaszcza to uderzenie się w pierś i wyznanie, że to jednak nie był “mityczny błąd systemu” — a jak to zwykle bywa, błąd człowieka, tłumaczony mniej spersonifikowanym i enigmatycznym oraz buntującym się”systemem”. Ciekawe natomiast jest to, że Uniwersytet nie mógł skasować e-maili ze skrzynek studentów. Zastanawia nas, czy było to wyzwanie moralne czy techniczne…

Znów kryptowaluty!

Widzieliśmy już kopanie kryptowalut przez stronę uczelni, ale żeby ktoś to robił na komputerach w sali ćwiczeniowej? Jeden z Czytelników doniósł nam, że właśnie coś takiego dzieje się na Uniwersytecie Warmińsko-Mazurskim w Olsztynie. Nasz Czytelnik znalazł na niektórych maszynach koparkę XMRIG.EXE.

Czytelnik sugerował, ze koparkę musiał zainstalować ktoś z uprawnieniami administratora, jednak ta osoba nie musiała działać świadomie. XMRIG.EXE może być zainstalowany niechcący np. jako dodatek do innego darmowego oprogramowania.

Zgłosiliśmy sprawę uczelni. Pani Wioletta Ustyjańczuk poinformowała nas, że wcześniej nikt tego nie zgłaszał władzom uczelni. Podjęto działania, które mają na celu usunięcie koparek i ewentualnie ustalenie kto za to odpowiadał.

Uniwersytet Ślaski i CyberChaos

Poniżej prezentujemy wam zrzut strony Instytutu Historii tej uczelni. Czy znajdziecie niepasujący element?

 

Osoby spostrzegawcze widzą wiadomość od grupy/osoby CyberChaos. Daliśmy znać uczelni, bo zmiana była wprowadzona 12 kwietnia, a jeszcze 16 kwietnia wiadomość była na stronie. CyberChaos wcześniej interesował się Politechniką Śląską…

Akademia Morska w Gdyni i Rejs Niepodległości

Ministerstwo Gospodarski Morskiej i Żeglugi Śródlądowej zorganizowało konkurs pn. Rejs Niepodległości. Zaliczyliśmy go do wpadek uczelnianych, ponieważ od strony technicznej konkursem zajmowali się pracownicy Akademii Morskiej w Gdynii.

Nagrodą w konkursie był udział w jednym z etapów rejsu żaglowca „Dar Młodzieży” dookoła świata. Dla laureatów opracowano formularz, w którym podawali oni swoje dane tj. numery dowodów osobistych, paszportów, adresy zamieszkania i kontakty do osób bliskich. Osoby te miały również podać preferowany odcinek rejsu, w którym miały wziąć udział.

Aby uzyskać dostęp do formularza z wymienionymi danymi danymi, wystarczyło podać imię, nazwisko oraz datę urodzenia. Lista laureatów pojawiła się na stronie konkursu, więc… imiona i nazwiska były na tacy. Daty urodzenia można było ustalić np. szperając po Facebooku.

Niektóre osoby miały problem z formularzem więc organizator prosił o przesyłanie danych e-mailem.

Nasz Czytelnik i uczestnik konkursu doniósł nam, iż…

…znalazła się osoba która wykorzystała brak profesjonalizmu organizatorów i pozmieniała wybory etapów części laureatów działając na własną korzyść. Co skutkowało unieważnieniem przydziału odcinków, a osoby które już zdążyły uzyskać urlop, zaplanować czas (mówimy o rejsach trwających nawet ponad 2 miesiące!) zostały na lodzie.

Organizator miał świadomość tego, co się stało. Nadano hasła do formularzy i te hasła przesłano zwykłym mailem.

Organizator uznał też, że mimo wszystko nie może się czuć odpowiedzialny za dane laureatów, jakie dało się znaleźć w social mediach (w czym jest nieco racji, choć nie usprawiedliwia to słabych zabezpieczeń formularza).

O sprawę pytaliśmy Ministerstwo Gospodarki Morskiej. Przyznało ono, że formularz nie był zabezpieczony jak należy. Informację cytowaną poniżej otrzymaliśmy z biura prasowego ministerstwa (nikt nie podpisał się pod nią z nazwiska).

Natychmiast po zgłoszeniu uwagi na ten temat Ministerstwo zleciło Akademii Morskiej w Gdyni stworzenie lepszego zabezpieczania formularzy uczestników Rejsu. Po otrzymaniu sygnałów o możliwych nieprawidłowościach natychmiast poleciliśmy Akademii Morskiej stworzenie nowego formularza, do którego dostęp każdy z uczestników otrzymał poprzez unikatowe, jednorazowe hasło. Poprosiliśmy także Akademię Morską o wyjaśnienia. Wynikało z nich, że na szczęście nie doszło do włamania na serwery AM i nie stwierdzono wycieku danych. Administratorzy AM sprawdzili logi na urządzeniach sieciowych i  nie znaleźli żadnych niepokojących zapisów.

Owszem, włamania nie było bo…

mem

Uniwersytet Ekonomiczny we Wrocławiu

Tak wygląda proces podbijania legitymacji studenckich na wrocławskim UE. Zdjęcie mówi wszystko :)

Punkty ksero

Pewien Czytelnik napisał do nas list z przemyśleniami na temat punktów ksero.

Do punktu wchodzimy po schodkach, do pokoju podzielonego ladą, na której stoi pięć komputerów, monitory ustawione są przodem do klienta i tyłem do sprzedawcy, przez to miejsce przewija się kilkadziesiąt jak nie kilkaset osób dziennie i każda z nich aby coś wydrukowac przychodzi z pendrivem lub loguje się na email, czy nie uważacie że przez takie rozwiązanie zainstalowanie keylogera z pendrivea (nikt nie zwróci uwagi na to że ktoś wkłada pendrive do komputera), i zbieranie kilkudziesięciu/kilkuset passów do kont studentów jest nadzwyczaj proste? Czy istnieją może rozwiązania które skutecznie uniemożliwiają instalacje takiego oprogramowania lub może punkty są zobowiązane bronić się przed tego typu atakami odgórnie? Sam nie zbadalem dogłębnie sprawy ale z tego co wiem komputery działają na systemach XP, i po krótkim przeszukaniu dysku nie znalazłem nawet antywirusa.

Zasadność przedstawionych w liście obaw potwierdziła się w innym liście od innego Czytelnika, studenta Wyższej Szkoły Informatyki i Zarządzania w Rzeszowie.

Całkiem niedawno korzystałem z uczelnianego punktu ksero drukując pewne dokumenty. Polegało to na tym, że do laptopa na ksero podłączałem swojego pendrive’a, wskazywałem osobie z obsługi który to plik, następnie dokonywała ona wydruku.(…) Parę dni temu kolega który również korzystał z punktu ksero powiedział mi, że wszystkie jego pliki na pendrivie po podłączeniu go do laptopa w punkcie ksero zmieniły swoje rozszerzenie na “*.lnk” i stał się niemożliwe do otworzenia. Zaciekawiony daną sytuacją podłączyłem swojego pendrive’a do  komputera po czym okazało się, że i moje pliki i katalogi zmieniły rozszerzenie na “*.lnk”.

Późniejsze przeskanowanie pendrive’a Avastem pokazało jedno zagrożenie.

Na wszelki wypadek daliśmy uczelni znać o możliwym problemie. \

Rzecznik prasowy WSIiZ Dominik Łazarz zapewnił nas, że skontaktował się w imieniu uczelni z Prezesem stowarzyszenia ABSOLWENT, które prowadzi punkt ksero. Przy okazji ustalił, że…

  • Na komputerze jest zainstalowane oprogramowanie antywirusowe. Stowarzyszenie ma świadomość, że interesanci przynoszą na różnych nośnikach materiały do wydruku i czasami są one zawirusowane.
  • Pracownicy Stowarzyszenia  sprawdzili podejrzany komputer i zapewnili, że wszystko wydaje się być dobrze.
  • Co jakiś czas robione jest dodatkowe skanowania, a ostatnio cały system był na komputerze “stawiany” pod koniec 2017 r.

Nie mamy pewności, czy problemy były efektem podłapania wirusa w punkcie ksero, ale problem jest godny wspomnienia i jeśli będziecie obserwować jakieś dziwne rzeczy po wizycie w takich punktach, dawajcie nam znać.

Egzaminy adwokackie/radcowskie ciągle bez antywirusów

To może nie jest problem ściśle uczelniany, ale jednak związany z kształceniem prawników. I niestety ciągle aktualny mimo naszych narzekań. Już w roku 2016 pisaliśmy, że wzięcie udziału w egzaminie adwokackim lub radcowskim wymaga przyniesienia komputera z odinstalowanym antywirusem. To nie jest dobry pomysł, aby w określonym momencie czasowym wymagać od wielu prawników odinstalowywania antywirusów. Ministerstwo tłumaczy, że nigdy nie zaobserwowano żadnych problemów więc nie ma się czym przejmować.

Mamy rok 2018 i czytając ogłoszenie na stronie Okręgowej Izby Adwokackiej przekonacie się, że nic się nie zmieniło. W tym ogłoszeniu przeczytamy nie tylko, że program antywirusowy ma być odinstalowany. Przeczytamy także, że uczestnicy egzaminu mają złożyć pisemne oświadczenie z deklaracją o świadomości ryzyka!

Uprzejmie informuję, że do dnia 27 lutego 2018 r. włącznie, zdający egzamin przed Komisjami Egzaminacyjnymi (…) składa pisemną informację o wyborze sposobu rozwiązywania zadań egzaminacyjnych w formie odręcznej albo przy użyciu własnego sprzętu komputerowego. W przypadku wyboru rozwiązania zadań przy użyciu własnego sprzętu komputerowego zdający składa także pisemne oświadczenie o akceptacji warunków związanych z użyciem własnego sprzętu komputerowego, zawierające deklarację, że znane są mu zagrożenia związane z użyciem tego sprzętu.

Część adwokatów jest świadoma ryzyka bo pisze do nas na ten temat. Czy wszyscy mają tę świadomość? Nie wiemy. Ministerstwo Sprawiedliwości z pewnością ciągle nie jest świadome ryzyka!

Tymczasem w pewnym Technikum

Zejdźmy z poziomu adwokackiego na poziom szkół średnich. Czytelnik podesłał nam taką oto fotkę z zespołu szkół w Aleksandrowie Kujawskim. Popatrzcie jak ktoś się napracował, aby zamazać PESEL-e czarnym markerem. Totalnie nie da się ich odczytać. Totalnie (białe kwadraty zostały dodane przez czytelnika, który nam to podesłał):

PESELE na szkolnym turnieju (bez HTTPS)

W poprzednim odcinku uczelnianych wpadek narzekaliśmy trochę na krakowski Zespół Szkół Energetycznych, który używał numerów PESEL jako loginów do platformy głosowania na najlepszych nauczycieli. Niestety nie była to jedyna szkolna inicjatywa ze zbiórką PESEL-i w tle. Ta sama dzkoła zorganizowała także e-sportowy turniej ZSE CUP, na który można się zarejestrować przez taką stronę.

Nie dość, że zbierane są numery PESEL to jeszcze ich przesyłanie odbywa się przez niezabezpieczone połączenie. Najbezpieczniej byłoby  nie brać udziału w tym turnieju.

Studniówki po raz drugi!

Już w poprzednim odcinku Uczelnianych wpadek pisaliśmy o szkołach średnich, które zbierają PESEL-e osób idących na studniówkę. Wspominamy o tym raz jeszcze, bo Technikum nr 5 w Częstochowie opracowało naprawdę drakoński regulamin studniówki.

Usiądźcie wygodnie.

Regulamin przewidywał zbieranie PESEL-i i adresów osób towarzyszących w liście dla uczniów…

…a także stworzenie “listy dla wpuszczających”, która dodatkowo zawierała numery dokumentów (np. dowodów osobistych).

Dowiedzieliśmy się, ze wszystkie te dane zbierane były od uczniów na zwykłej kartce papieru, do której mógł mieć wgląd “każdy, kto chciał coś uzupełnić”. Podanie numeru dokumentu było konieczne aby dostać się na sale (numer był sprawdzany).

Najchętniej doradzilibyśmy uczniom tego Technikum, aby nie brali udziału w studniówce. Uwierzcie nam. To jest przereklamowane wydarzenie i z biegiem czasu człowiek nabiera do niego dystansu. Niestety Technikum nr 5 w Częstochowie przygotowało opłaty dla osób, które na studniówkę nie pójdą (sic!).

Regulamin przewiduje, że…

Uczniowie mający bardzo trudną sytuację materialną mogą zwrócić się do Komitetu Organizacyjnego podaniem o zwolnienie z części opłat. Podanie musi zaopiniować wychowawca. Decyzję o zwolnieniu podejmuje Komitet Organizacyjny.

Podstawy prawnej nie podano, ale organizator studniówki (zespół rodziców zwany Komitetem Organizacyjnym) wydaje się być bardzo pewnym swojego prawa do pobierania opłat nawet za niepójście na studniówkę. Tylko co by się stało, gdyby ktoś naprawdę nie zapłacił? Komitet uruchomi komornika?

No dobrze… wiemy, że w niektórych szkołach w cenie studniówki jest także prezent dla nauczyciela. Ale mimo wszystko ten regulamin robi zabawne wrażenie.

To nadal nie koniec!

Dziękujemy tym, którzy wytrwali. Dzisiejsza, 4 z kolei kompilacja Uczelnianych Wpadek była dość długa. Ale to nie koniec…

Regularnie zgłaszacie nam problemy z ochroną danych w Waszych szkołach i uczelniach. Być może więc zgłosiliście nam jakąś uczelnianą wpadkę, a nie widzicie jej tutaj. Oznacza to, że możemy być jeszcze w trakcie wyjaśniania sprawy, czekamy na załatanie problemu, albo z innych powodów musieliśmy odłożyć publikację. Nie martwcie się jednak. To z pewnością nie jest ostatni odcinek tego cyklu — wszystkie zgłoszenia ujrzą światło dzienne.

I oczywiście czekamy na więcej. Jakby co, to wiecie gdzie podsyłać nam materiał na kolejne odcinki ;)

Przeczytaj także:

<!-- Similar Posts took 19.715 ms -->

Don't be the product, buy the product!

Schweinderl