Historia eduVULCAN

Spis treści

Nowa aplikacja

W końcu 12.08.2024r. potwierdziły się plotki. Vulcan przechodzi na nową aplikację i stronę WWW. Wielką nowością jest WERSJA ROZSZERZONA która tak podstawowe funkcje jak usprawiedliwianie nieobecności, powiadomienia PUSH, czy wiadomości w apce ukrywa za paywallem

od 32,99PLN za rok szkolny

porównianie wersji podstaowwej i rozszerzonej
2gi wyciąg z regulaminu
(Fragment regulaminu który blokuje nieoficjalne aplikacje)

16.08.2024r. Została opublikowana aplikacja. Praktycznie cały interfejs jest skopiowany z starej aplikacji. Działa ona pod kontrolą API prawie takiego samego jak HEBE

Widok frekwencji w starej aplikacji Widok frekwencji w nowej aplikacji
(Znajdź różnicę)

19.08.2024r. W większości szkół została wyłączona aplikacja "Dzienniczek Vulcan"

screen z starej aplikacji
screen z starej strony

Wyciek

20.08.2024r. W wyniku błędu w Zintegrowanym Systemie Edukacyjnym doszło do wycieku poufnych danych osobowych. W zakładce "podręczniki" znalazły się pliki PDF i DOCX zawierające dane wrażliwe m.in. PESEL lub adres zamieszkania. Były dostępne dla każdego kto ok. 14 wszedł na dziennik

zakładka pobieranie plików strona, która nie powinna być na produkcji
jeden z zlekowanych plików
mailowa odpowiedź pewniej firmy na wyciek

Podobno w zależności od rejonu zamieszkania użytkownicy widzieli różne pliki
Po jakimś czasie Vulcan dowiedział się o incydencie i całkowicie wyłączył dziennik
(ps. Z całego serca chce serdecznie pogratulować firmie Vulcan kolejnych udanych testów na produkcji)

OSE incident

10.09.2024r. OSE (z której usług muszą korzystać wszystkie szkoły) zablokowało dostęp do VULCANa

screen fb dot. nie działania vulcana na szkolnych siechachscreen z przeglądarki i informacją o niebezpiecznej stronie

Base32 kontra użytkownicy

14.09.2024r. Jeden z członków związanych stricte z organizacją Wezuwiusz odkrył, że końcówka linku

https://eduvulcan.pl/dziennik/tu_te_coś

jest zakodowana w base32 oraz przekierowuje na stronę którą tam się poda, np.
https://eduvulcan.pl/dziennik/https://czyvulcanapojebalo.pl
(po zakodowaniu tej końcówki)
https://eduvulcan.pl/dziennik/NB2HI4DTHIXS6Y32PF3HK3DDMFXGC4DPNJSWEYLMN4XHA3A
Normalnie przekieruje na czyvulcanapojebalo.pl
Po kilkunastu minutach powstał edu"Skracacz", a wieczorem powstał ten prank

screen z pewnego discorda
(tak, przekierowuje na Rickrolla)


I rozkręciła się maszyna

ogłoszenie bankructwajak wykastrować kota?

20.09.2024r. Vulcan zablokował tę możliwość, ale można ją przywrócić za pomocą Restore eduSkracacz

Zaindeksowanie

około 21.09.2024r. CVP zaindeksowało się w wyszukiwarce Google pod przekierowaniem z eduSkracacza

screen z wyszukiwarki spółki alphabet

Po kilku dniach niestety zniknęło :(

█▬█ █ ▀█▀ Kolejne testy na produkcji

Vulcan przesunął rozpoczęcie pobierania opłat z 1 listopada na 1 grudnia, ale zapomnieli zmienić w aplikacji okresu próbnego. Dzięki temu 2 listopada wszyscy użytkownicy zobaczyli zamknięte kłódki a błąd który się wyświetlał (gdyby oficjalna apka wyświetlała błędy) to EDUVULCAN_PREMIUM.

konsola, w niej błąd EDUVULCAN_PREMIUMZamknięte kłódki w aplikacji

08.11.2024r. Vulcan znowu zmienił JSONa w JWT, co spowodowało problemy w działaniu nieoficialnych aplikacji
(Gdzieś to już słyszałem)

Mobilne podatki dodatki

Od 18.11.2024r. Można zapłacić za usługę rozszerzoną. Usługa w pełni została włączona 2 grudnia o 15:00

cennik mobilnych dodatków
screen z eduvulcan z mobilnych dodatków

eduSkracacz 2.0

29.01.2025r. Vulcan na swoim blogu wprowadził wyszukiwarkę która mogła wykonywać kod JavaScript. Podatność została załatana w mniej niż 2 godziny 😭 a sam eduSkracacz działał przez 22 minuty
eduSkracacz 2.0 jest dostępny na es.cvp.ovh

rozmowa na discordzieniedoszły prank z wykorzystanie es 2.0
alert inject źródło strony z zincectowanym linkiem
umieszczenie zdjęć w linkach