Historia Historia eduVULCAN Słownik | Discord POW eduSkracacz eduCalc
Historia Historia eduVULCAN Słownik Discord POW eduSkracacz eduCalc

Historia eduVULCAN

Spis treści

Nowa aplikacja

W końcu 12.08.2024r. potwierdziły się plotki. Vulcan przechodzi na nową aplikację i stronę WWW. Wielką nowością jest WERSJA ROZSZERZONA która tak podstawowe funkcje jak usprawiedliwianie nieobecności, powiadomienia PUSH, czy wiadomości w apce ukrywa za paywallem

od 32,99PLN za rok szkolny

porównianie wersji podstaowwej i rozszerzonej
2gi wyciąg z regulaminu
(Fragment regulaminu który blokuje nieoficjalne aplikacje)

16.08.2024r. Została opublikowana aplikacja. Praktycznie cały interfejs jest skopiowany z starej aplikacji. Działa ona pod kontrolą API prawie takiego samego jak HEBE

Widok frekwencji w starej aplikacji Widok frekwencji w nowej aplikacji
(Znajdź różnicę)

19.08.2024r. W większości szkół została wyłączona aplikacja "Dzienniczek Vulcan" (do dziś jednak istnieją szkoły korzystające z Dzienniczek Vulcan).

screen z starej aplikacji
screen z starej strony

Wyciek

20.08.2024r. W wyniku błędu w Zintegrowanym Systemie Edukacyjnym doszło do wycieku poufnych danych osobowych. W zakładce "podręczniki" znalazły się pliki PDF i DOCX zawierające dane wrażliwe m.in. PESEL lub adres zamieszkania. Były dostępne dla każdego kto ok. 14 wszedł na dziennik

zakładka pobieranie plików strona, która nie powinna być na produkcji
jeden z zlekowanych plików
mailowa odpowiedź pewniej firmy na wyciek

Podobno w zależności od rejonu zamieszkania użytkownicy widzieli różne pliki
Po jakimś czasie Vulcan dowiedział się o incydencie i całkowicie wyłączył dziennik
(ps. Z całego serca chce serdecznie pogratulować firmie Vulcan kolejnych udanych testów na produkcji)

Base32 kontra użytkownicy

14.09.2024r. Jeden z członków związanych stricte z organizacją Wezuwiusz odkrył, że końcówka linku

https://eduvulcan.pl/dziennik/tu_te_coś

jest zakodowana w base32 oraz przekierowuje na stronę którą tam się poda, np.
https://eduvulcan.pl/dziennik/https://czyvulcanapojebalo.pl
(po zakodowaniu tej końcówki)
https://eduvulcan.pl/dziennik/NB2HI4DTHIXS6Y32PF3HK3DDMFXGC4DPNJSWEYLMN4XHA3A
Normalnie przekieruje na czyvulcanapojebalo.pl
Po kilkunastu minutach powstał edu"Skracacz", a wieczorem powstał ten prank

screen z pewnego discorda
(tak, przekierowuje na Rickrolla)


I rozkręciła się maszyna

ogłoszenie bankructwajak wykastrować kota?

20.09.2024r. Vulcan zablokował tę możliwość, ale można ją przywrócić za pomocą Restore eduSkracacz

Zaindeksowanie

około 21.09.2024r. CVP zaindeksowało się w wyszukiwarce Google pod przekierowaniem z eduSkracacza

screen z wyszukiwarki spółki alphabet

Po kilku dniach niestety zniknęło :(

█▬█ █ ▀█▀ Kolejne testy na produkcji

Vulcan przesunął rozpoczęcie pobierania opłat z 1 listopada na 1 grudnia, ale zapomnieli zmienić w aplikacji okresu próbnego. Dzięki temu 2 listopada wszyscy użytkownicy zobaczyli zamknięte kłódki a błąd który się wyświetlał (gdyby oficjalna apka wyświetlała błędy) to EDUVULCAN_PREMIUM.

konsola, w niej błąd EDUVULCAN_PREMIUMZamknięte kłódki w aplikacji

08.11.2024r. Vulcan znowu zmienił JSONa w JWT, co spowodowało problemy w działaniu nieoficialnych aplikacji
(Gdzieś to już słyszałem)

Mobilne podatki dodatki

Od 18.11.2024r. Można zapłacić za usługę rozszerzoną. Usługa w pełni została włączona 2 grudnia o 15:00

cennik mobilnych dodatków
screen z eduvulcan z mobilnych dodatków

eduSkracacz 2.0

29.01.2025r. Vulcan na swoim blogu wprowadził wyszukiwarkę która mogła wykonywać kod JavaScript. Podatność została załatana w mniej niż 2 godziny 😭 a sam eduSkracacz działał przez 22 minuty
eduSkracacz 2.0 jest dostępny na es.cvp.ovh

rozmowa na discordzieniedoszły prank z wykorzystanie es 2.0
alert inject źródło strony z zincectowanym linkiem
umieszczenie zdjęć w linkach