影響範圍
全誼科技所維護之各縣市校務行政系統
發現過程
由側邊攔家長帳號登記內家長帳號申請輸入家長身份證字號
並在點擊檢查後無條件顯示資料
期間共發出這筆 POST Request 且不需帶認證資料、驗證碼
POST https://esa.ntpc.edu.tw/jsp/olreg/OlregAction.do?method=getAdData
idno=A123456789
[{"birthday":"2014/09/01","AD":"1","name":"陳思卉","birthday1":"20140901","birthday2":"103/09/01","idno":"A123456789"}]
自動帶出此身份證於資料庫的姓名、生日
後記
此漏洞已於回報後改為需要帶已登入之 Session ID 但仍未加入驗證碼或是限制短時間內請求次數
由於學生 ID 為身份證字號,如有心要利用,可以同縣市內大多數學生之身分證 prefix (Ex. A131, F230, etc.) 取得大量資料
如有大量對照清單,等同於取得學生身份證字號
新北市教育局則於 Oct 26 發函給各校
有關民間資安通報平台指出,新北市校務行政系統具有系統漏洞,可於免登入狀態,透過特定網址直接查詢個人資料事宜,恐有個資洩漏疑慮。 經查證,該系統確有此查詢功能,惟需在知悉查詢對象完整身分證字號前提下,方可成功查詢, 且資料僅限於生日及姓名,原設計目的係當子女代為申請家長帳號時,系統可自動比對該身分證字號是否已存在於系統內,並代出生日及姓名提供予導師,方便確認家長身分,避免因身分證字號輸入錯誤,造成非學生家長獲得家長帳號權限。
另本局於105年9月27日接獲通知後,即於當日完成程式修正,使用者須為新北市學生,並使用該系統帳號密碼登入狀態下,方可使用該查詢功能,並加入相關機制,避免有心人士透過程式大量查詢,本局亦將持續關注資安議題,強化個人資料保護。
時間軸
| 日期 | 事件 |
|---|---|
| Sep 25 | 發現漏洞並通報 HITCON ZeroDay |
| Sep 27 | HITCON ZeroDay 通報負責廠商處理 |
| Oct 05 | 再次確認時發現已加上 session 驗證 |
| Oct 15 | 廠商通知已修補 |
| Oct 25 | 隱藏頁面,顯示 「500 發生錯誤」圖片 |
| Oct 27 | 重新加入頁面,改為須驗證碼,且僅回傳拿掉第二字的姓名 |
| Nov 09 | HITCON ZeroDay 公開此漏洞 |
相關連結
- HITCON ZeroDay Report ZD-2016-00227
- 同套系統學生輔導資料外洩漏洞