|
加大学生揭25万学生泄密漏洞 遭开除
本帖最后由 加拿大老张 于 2013-1-23 12:31 编辑
艾尔-卡巴茨说,他和同学去年9月偶然发现门户网站的缺陷。他说:“我只想出点力,确保我们的数据安全。”
他们查看学生门户网站时发现,在加密连接里替换其他学生号码,可以索取超过25万名学生的个人资料,比如社会保险号码、住址、电话号码。
艾尔-卡巴茨说,他们发现Omnivox软件的漏洞后,他立即通知学校信息技术主管,那人还恭喜他,说他发现得好。
几天后,他运行一个程序,检查软件还有没有那个保安漏洞。他几乎立即收到Skytech的电话,那正是Omnivox制造商。
外行人说几句: 这是网站设计阶段的安全缺陷, 没有定义合适的用户组权限, 学生的个人资料也没有按权限设置哪些用户组可以涉及什么程度的敏感数据, 不是一个补丁能修理的. 大概设计者是学艺术的open source出身, 什么东西都是公开的共享的. 从版ODBC的风格~~~ |
|