布朗大学怎么知道你在哪里?

2020-12-06 08:08:30

大学发言人布莱恩·克拉克在接受《布朗日报》采访时说,大学评估了各种指标,包括:

最后一个指标的机制很不言而喻,但是其他指标呢? Canvas不想知道您的位置。在这篇文章中,我将分解每个指标背后的技术机制。

在大多数情况下,我对布朗如何做出决定没有内幕知识。相反,我将考虑布莱恩·克拉克(Brian Clark)命名的每个指标,并描述布朗可以利用其生成位置数据的技术机制。

这是个简单的。布朗的建筑物位于布朗的校园内。布朗的校园在普罗维登斯。如果您在Brown的建筑物中,那么您将在Providence的Brown校园中。 QED。

在布朗,建筑物的出入主要由电子控制系统(即Software House的C•CURE 9000系统系统)进行管制,而不是机械钥匙。

每个大学身份证上磁条的磁道2上编码的是一个16位数字,可唯一标识该卡:

好吧,那真让人难以理解-当然您看不到它!但是,直到2017年或2018年,此号码也印在身份证的正面,就在持卡人姓名的正上方:

每当您在任何地方刷Brown ID卡时,此伪随机标识符(最后十位数字)都会唯一标识您。而且,如果您丢失了布朗ID卡,则只有在更换后才能更改。方便!相反,当您丢失宿舍房间的机械钥匙时,Brown必须更换(或更确切地说,为钥匙更换钥匙)。

但是,与机械钥匙不同,布朗ID卡的每次刷卡都记录在中央数据库中。使用C•CURE 9000,管理员可以查看人员的完整历史建筑物访问历史记录。去年春天,布朗使用这种机制来识别并督促疏散天意较慢的学生。

诸如Canvas之类的大学网络服务不会直接询问您的位置。但是,访问这些服务会留下位置指纹:您的IP地址。

IP地址是用于识别网络路由的设备(计算机,电话等)的数字。原则上,除了您和您​​的互联网提供者之外,没有人知道您的IP地址到您的物理地址的确切映射。

实际上,IP地址可用于大致定位设备。 IP地址的批次与地理区域松散地关联。由于每个Web服务访问都以IP地址作为跟踪,因此极大地刺激了广告商能够准确识别IP地址可能与哪个城市或城镇相关联。

Brown可能不会分析其单个Web服务(例如Canvas)的访问日志。相反,他们只需要审核其三个身份访问管理(IAM)系统的访问日志:

Google Workplace IAM系统用于控制对@ brown.edu电子邮件以及各种Google云端硬盘服务的访问。 Google Workplace为管理员提供了包括用户的登录审核日志。 IP地址。

Shibboleth IAM系统控制对所有其他Brown Web服务(例如Canvas)的访问。这就是您对自己的棕色帐户的看法。 Shibboleth非常灵活,可以配置为记录IP地址。

DUO用于为Shibboleth登录提供两因素身份验证。它还为管理员提供了详细的访问日志。

您可以通过打开棕色电子邮件并单击" Details"部分查看自己的Google Workplace登录历史记录。在页面的右下角;例如。:

有了这些访问日志中的任何一个,Brown都可以使用任意数量的地理位置服务(例如该服务)来猜测您的实际位置。

这是另一个简单的方法。布朗的WiFI网络覆盖了布朗的校园。布朗的校园在普罗维登斯。如果您在布朗的WiFi网络上,那么您在布朗的校园中。 QED。

您可能会感到惊讶的是,仅WiFi就能进行如此深度的监视。该部分几乎不会刮擦表面。

Brown和eduroam网络要求您使用Brown帐户凭据进行身份验证。因此,布朗大学能够确定连接到这些网络的任何设备的所有者。

尽管Brown Guest不需要身份验证,但它仍提供了识别机制。您的网络设备广播一个称为MAC地址的唯一标识符。

如果您曾经连接到经过身份验证的网络,则Brown能够使您与Brown Guest的连接匿名化-除非您的设备实现了MAC地址随机化(顾名思义,这会随机化您设备上的MAC地址)每个网络。

Brown接入点记录了已连接到它们的设备的MAC地址。截至2015年,布朗将这些原木保留了至少几年-可能无限期。由于校园中有许多接入点,因此您连接到的接入点可以将您的位置缩小到特定的房间。这些日志结合在一起,可以随时准确地描绘出您在校园中的位置。

您不需要主动浏览互联网即可让Brown通过这种机制知道您的位置。当您穿过校园时,您的手机可能会自动重新连接到最近的可用接入点。如果您在校园的真实范围之内,则应假定CIS可以(大致)识别您的位置。

截至2020年2月,共有800台监控摄像机监视着24/7校园。这张地图仅记录了布朗大学相机监控总容量的7%:

布朗大学(Brown University)制定了长期监控其监控摄像头使用的政策。不幸的是,该政策是秘密的。

尽管布朗目前可能没有能力广泛而深入地检查这些相机产生的数据的火喉,但希望这种情况在不久的将来会改变。布朗公司(Brown)的主要监视摄像机供应商Axis Communications现在吹捧可以执行车载面部识别的摄像机。 C•CURE 9000访问控制系统的提供者Software House已经开始销售面部识别与其访问控制系统的集成:

《家庭受教育权和教育法》授权学生向大学索取教育记录。

如果您当前是布朗学生,则想超越我的博客文章,确切地了解布朗大学如何知道您的位置,请提交FERPA请求。布朗大学有义务在45天内做出回应。您需要具体说明您的要求。我建议要求:

与您的设备关联的时间戳,MAC地址和BSSID。与布朗大学无线接入点的连接

与您帐户执行的所有Google Workplace,Shibboleth和DUO身份验证关联的登录审核数据

此外,《通用数据保护条例》赋予欧盟公民和居民更大范围的控制权,以控制他们的个人身份信息(PII)的使用方式,以及索取复制或销毁收集到的数据的权利。我相信这些要求应直接发送给布朗合规办公室。即使您是布朗校友,也可以执行此操作。

如果您尝试上述任何一个步骤,请保持联系!我对布朗实际上在做什么感到很好奇。

通过电子邮件将评论和更正发送至[email protected]