Iba pred mesiacom bola dlhoročná verzia interného diskusného fóra pre študentov – Askalot – nahradená novou, údajne vylepšenou. Tú študentom prezentoval súčasný prodekan, ktorý sa iba nedávno preslávil cenzurovaním kritických príspevkov na rovnomennom internom fóre.

Po mesiaci od spustenia novej verzie spravovanej oddelením priamo podriadeným dekanovi fakulty sa objavujú obavy o cielené blokovanie prístupu študentom, ktorí sa kriticky vyjadrovali voči vedeniu fakulty či autorom diskusného fóra. Viacerí študenti sa nám ozvali, že prišli o prístup na fórum po tom, čo si dovolili vysloviť kritiku. O možnom blokovaní ich prístupu nám navyše poskytli aj dôkazy.

Zablokovanie prístupu po príspevku

Pre prístup k obsahu Askalotu, ktorý sa týka najmä študentských otázok, sa vyžaduje prihlasovanie. Tým sa overí, že k fóru pristupujú len študenti a zamestnanci FIIT STU. V poslednom čase však získalo fórum pozornosť aj kvôli tomu, že ho využívali študenti či zamestnanci na vyjadrovanie svojej kritiky voči kontroverzným krokom vedenia FIIT STU. To sa, pochopiteľne, vedeniu fakulty nepáči.

Študentom, s ktorými sme komunikovali, sa nedarí už mesiac prihlásiť sa na Askalot svojimi prihlasovacími údajmi. Tie sú zhodné s údajmi, s ktorými sa študenti prihlasujú do Akademického informačného systému (AIS) univerzity – systém Askalot využíva práve AIS na overovanie totožnosti študentov.

Podľa ich slov došlo k zablokovaniu ich prístupu, a to po tom, ako sa kriticky vyjadrili voči kvalite novej verzie Askalotu. V súčasnosti ich systém pri pokuse o prihlásenie informuje o nesprávne zadanej kombinácii prihlasovacieho mena a hesla.

Zarážajúci je však fakt, že do Akademického informačného systému sa s rovnakými údajmi bez problémov prihlásiť vedia. S problémom sa obrátili na autorov interného fóra cez anonymnú kontaktnú e-mailovú adresu a taktiež sa obrátili aj na prodekana pre študentov. Z oboch kanálov sa však odpovede nedočkali.

Informatici odhalili záhadu

Študenti informatiky sa preto pokúšali prísť na to, prečo sa im nedarí prihlásiť. Nový systém Askalot umožňuje zistiť posledný úspešný čas prihlásenia každého používateľa. Študenti sa preto rozhodli preskúmať, či sa tento čas bude meniť v prípade, že zadajú správne prihlasovacie údaje a v prípade, že zadajú nesprávne prihlasovacie údaje.

Po zadaní nesprávnych prihlasovacích údajov sa posledný čas prihlásenia očakávane nezmenil. Akonáhle však zadali korektné prihlasovacie meno a heslo, tento čas sa už upravil na reálny čas, kedy sa pokúšali prihlásiť. Hoci k tejto zmene došlo, systém im neumožnil prístup na fórum a informoval ich o chybne zadaných prihlasovacích údajoch. Toto správanie nám potvrdili nezávisle viacerí študenti a poskytli nám aj dôkazy o ich tvrdení.

Rovnako sa systém správa aj pri študentoch doktorandského štúdia, ktorí majú štúdium prerušené, avšak naďalej vedú viaceré záverečné práce na fakulte, a to bez nároku na odmenu.

Iní študenti pritom takýto problém nemajú a do fóra sa vedia bez problémov prihlásiť. Vyvstáva preto podozrenie, že na fóre existuje zabudované blokovanie používateľov, ktoré však nie je transparentné a nie je tak zrejmé, na základe čoho strácajú študenti do systému prístup. Navyše, v takomto prípade by došlo k (doteraz neobmedzenému) zablokovaniu študentov bez toho, aby boli vôbec upozornení. Šlo by teda o vysoko netransparentné, bezprecedentné konanie, kde je študentom (vybraných neznámou osobou na základe neznámeho kľúča) blokovaný prístup k informáciám ohľadom štúdia.

Po tom, ako na situáciu upozornili študenti aj na verejných fórach (a nielen formou mailov adresovaných vedeniu), sa o problém začalo zaujímať aj samotné vedenie a študentom zaslalo dotazník, ktorého cieľom bolo zistiť, ktorí študenti nevedia získať prístup na fórum. Došlo k tomu teda až mesiac po tom, čo sa problém objavil a na ktorý začali študenti upozorňovať internými cestami. Niektorí z nich už prístup do systému aj medzičasom získali.

Kritika pre transparentnosť

Spustenie nového Askalotu vo februári sprevádzali rozpačité okolnosti. Nový Askalot totiž čelil hneď prvý večer zvýšenému záujmu študentov, čo spôsobilo často neprimerane dlhé načítavanie stránok a používateľský diskomfort.

Po pár hodinách prevádzky bol Askalot vypnutý a jeho autori informovali o údajnom pokuse skupiny študentov znefunkčniť Askalot, čo podľa autorov spôsobilo efekt podobný tzv. útoku DDoS. Študenti však túto možnosť vylúčili a podľa ich slov bol problém v samotnom systéme, ktorý často zasielal neprimerane veľké množstvo požiadaviek, o ktorých samotní návštevníci nevedeli. V podobnej situácii sme sa pritom iba nedávno ocitli aj pri registračnom systéme na očkovanie proti COVID-19.

Vo vypnutom stave zostal systém následne takmer týždeň, čo študenti vnímali negatívne. Zhodou okolností išlo totiž o prvý týždeň letného semestra, počas ktorého sa na fóre zvykli objavovať otázky súvisiace so začiatkom semestra a novými predmetmi. 

Pôvodná verzia mala tiež zverejnený zdrojový kód, bolo teda zrejmé, ako systém funguje a akým spôsobom sa nakladá s údajmi používateľov. V novej verzii nie je jasné, kto ju vyvíja a kód nie je nikde zverejnený.

Keďže sa študent do tohto systému prihlasuje rovnakými údajmi ako do všetkých ostatných systémov Slovenskej technickej univerzity (STU), sú jeho prihlasovacie údaje a ostatné informácie mimoriadne citlivé. V iných systémoch STU sa totiž nachádzajú aj citlivé osobné údaje (napr. rodné čísla, čísla občianskeho preukazu, informácie o rodine a o štúdiu). 

Bez znalosti zdrojového kódu je náročné vyhodnotiť, či sú tieto osobné údaje spracované v súlade so štandardmi ochrany osobných údajov a či nie je napríklad heslo zaznamenávané aj v databáze Askalotu, hoci by rozhodne nemalo byť.

Systém utrpel aj z pohľadu bezpečnosti

Študenti nás tiež upozornili na viaceré nedostatky zabezpečenia, ako napríklad možnosť upravovať nastavenia používateľov. Cez voľne dostupné API volanie bolo napríklad údajne možné zmeniť rolu používateľa zo študenta na učiteľa (rola učiteľa umožňovala v pôvodnom Askalote moderovať diskusiu napríklad mazaním nevhodných príspevkov) alebo dokonca zmeniť prepojenie medzi kontom na Askalote a kontom STU, a vydávať sa tak za iného študenta univerzity.

Okrem toho bolo možné jednoducho získať zoznam používateľov, ktorí hlasovali za príspevky (udelili im tzv. upvote alebo downvote) alebo ktorí otázku sledovali. Týmto spôsobom bolo možné aj vypátrať anonymného autora otázky. Študenti vďaka tomu taktiež zistili, že členovia vedenia, zamestnanci, ale aj “noví” pedagógovia negatívne (downvotom) reagujú na študentské otázky aj vtedy, keď je otázka legitímna a nikoho nekritizuje.

Okrem technického zabezpečenia anonymity autora otázky voči ostatným používateľom vďaka nadmernému množstvu údajov vracaných do prehliadača cez API na pozadí a filtrácii iba prostredníctvom tzv. frontendu je otázna aj samotná anonymita.

Systém Askalot už od svojho vzniku umožňoval otvorene diskutovať aj o problémoch v predmetoch alebo o procesoch na fakulte, pričom študenti mohli otázky, ktoré vnímali citlivejšie, klásť anonymne. Toto bolo zabezpečené okrem iného aj verejným prísľubom známeho autora a otvoreným zdrojovým kódom. V novom systéme však nie je ani zrejmé, kto ho prevádzkuje (a teda aký má záujem zachovať anonymitu pri iných ako vyhovujúcich príspevkoch). V správe o odstavení nového systému sa noví autori podpisujú ako „ASKALOT“.

Toto môže byť vnímané aj problematicky vo svetle posledných udalostí. Člen vedenia FIIT STU totiž odstránil z Askalotu príspevok, ktorý obsahoval gratuláciu odídených učiteľov študentom, ktorí získali ocenenie Biela vrana. Študenti vtedy toto jeho konanie ostro kritizovali a označovali ho ako snahu o cenzúru.