IVRP.pl Strona Główna IVRP.pl
polityka - militaria - kultura - podróże

FAQFAQ  SzukajSzukaj  UżytkownicyUżytkownicy  GrupyGrupy
RejestracjaRejestracja  ZalogujZaloguj  AlbumAlbum  DownloadDownload

Poprzedni temat «» Następny temat
Wpadki Okręgowych Komisji Egzaminacyjnych
Autor Wiadomość
Black^Widow 
Oberfeld-Hebel


Pomógł: 3 razy
Dołączył: 28 Wrz 2006
Posty: 4512
Skąd: DC (District Cracovia)
Wysłany: Czw 21 Cze, 2018 10:06   Wpadki Okręgowych Komisji Egzaminacyjnych

Jak podaje - szczegóły nowej "akcji promocyjnej" pt. "bezpieczeństwo oczami Ministerstwa Edukacji" portal niebezpiecznik.pl :

Cytat:

Końcówka roku szkolnego to czas matur i egzaminów gimnazjalnych. Do akcji wkraczają Okręgowe Komisje Egzaminacyjne, które przetwarzają dane osobowe i tworzą serwisy ułatwiające życie uczniom i nauczycielom. Niestety te serwisy nie przeszłyby pomyślnie wszystkich prób związanych z bezpieczeństwem danych, a w roku wdrożenia RODO wydaje się to szczególnie istotne.
Logowanie przez PESEL (bez hasła)

Nauczyciel z pewnej szkoły średniej, który jest również naszym Czytelnikiem, został poproszony o asystowanie przy egzaminie. Wymagało to uzupełnienia pewnego formularza na stronie OKE Jaworzno. Dostęp do formularza odbywał się w nietypowy sposób.

Jakie było moje zdziwienie, że do zalogowania się wystarczy PESEL. I tylko PESEL.

[...]

Po wpisaniu numeru PESEL uzyskiwało się dostęp do danych nauczyciela wraz z jego oświadczeniem dla celów podatkowych. Wątpimy, by ktoś użył tego serwisu aby złożyć w imieniu nauczyciela fałszywe oświadczenie. Istotniejsze było to, że ktokolwiek znający PESEL nauczyciela mógł się zalogować aby zdobyć dostęp do jego danych. Dane osobowe właściwie nie zostały zabezpieczone. Po prostu system udostępniał je każdemu kto podał PESEL. Domyślaliśmy się, że ten dostęp jest możliwy tylko w określonym czasie przed egzaminami, ale powinno być jeszcze hasło.
“System znajdował się w fazie przejściowej”

Spytaliśmy o to Okręgową Komisję Egzaminacyjną w Jaworznie. Starszy specjalista Maciej Retyk przyznał, że…

Stosowane dotychczas zabezpieczenie jak na dzisiejsze czasy było zbyt słabym zabezpieczeniem (poza samym numerem PESEL ograniczeniem był jeszcze czas trwania sesji egzaminacyjnej poza którym dostęp był niemożliwy).

Dlatego też wszystkie nasze systemy służące do zbierania oświadczeń do umów (poza podanym przez Pana przykładem systemów dla osób pracujących przy egzaminie zawodowym, funkcjonują jeszcze trzy podobne przeznaczone dla osób zatrudnionych przy szkoleniach oraz pozostałych typach egzaminów) sukcesywnie dostawały nowe zabezpieczenia.

W momencie otrzymania do Pana wiadomości serwis zawodowy znajdował się w fazie przejściowej między nowymi zabezpieczeniami a starymi jak i wdrożeniem RODO. Działo się tak, ponieważ wprowadzanie radykalnych zmian w trakcie trwania sesji egzaminacyjnej zawsze budziło dużo emocji w śród osób z nami współpracujących i chcieliśmy je wprowadzać stopniowo.

[...]

źródło/więcej na: https://niebezpiecznik.pl/post/wpadki-okregowych-komisji-egzaminacyjnych-czyli-jak-podkradac-czyjes-prace-podgladac-historie-ocen-i-zdobywac-dane-nauczycieli/

Rzeczywiście - bardzo swoiście rozumiane bezpieczeństwo ....
Smaczku dodaje fakt że w majestacie prawa, bo przecież żeby taki portal (tak fantastycznie przygotowany i zabezpieczony) mógł powstać to cały szereg podpisów musi najpierw zwisnąć . To nie miejsce na wolną amerykankę musi być akceptacja Władz.
_________________
po apelu policji skruszeni hakerzy odesłali skradzioną bazę mailem
 
 
Wyświetl posty z ostatnich:   
Odpowiedz do tematu
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Nie możesz ściągać załączników na tym forum
Dodaj temat do Ulubionych
Wersja do druku

Skocz do:  

Powered by phpBB modified by Przemo © 2003 phpBB Group
Strona wygenerowana w 0,05 sekundy. Zapytań do SQL: 13