LOADING ...

Teen kertoo DEF CON: lle, kuinka hän hakkeroi miljoonia opiskelijarekistereitä suositusta koulutusohjelmasta [Päivitys]

Alyse Stanley Aug 10, 2019. 4 comments

"Hei Bill Demirkapista :)" lukeminen tuhansille vanhemmille, opiskelijoille ja opettajille hänen koulupiirinsä, kun edellä mainittu teini hakkeroi koulunsa koulutusohjelmistoja. Se oli yksi monista virheistä, jotka Demirkapi löysi viimeisen kolmen vuoden aikana - toinen paljasti miljoonia opiskelijoiden kirjaa -, jonka hän esitteli tämän vuoden DEF CON -tapahtumassa, hakkereiden valmistelukokouksessa Vegasissa.

Ohjelmisto kuului koulutuksen kahteen suurimpaan nimeen: Blackboard ja Follett. Yhdistettynä nämä teknologiayritykset tarjoavat online-koulutustuotteita yli puolelle Amerikan kouluista.

Demirkapin fuksi-vuoden aikana tylsyyden ja tavoitteettoman kunnianhimon seos johti hänet tutkimaan yritysten rajapintoja. Pelkästään Blackboardin Community Engagement -ohjelmistossa hän sai pääsyn noin viiden miljoonan opiskelijan tietueisiin, kaiken heidän puhelinnumeroista luokka-aikatauluihinsa, hyödyntämällä yleisiä virheitä, kuten ”ns. SQL-injektio- ja sivustojenvälisten komentosarjojen haavoittuvuuksia”. Langallisesti raportoitu . Hän löysi samanlaisia ​​virheitä Follettin opiskelijoiden tietojärjestelmästä, mukaan lukien opiskelijoiden salasanat, jotka jotkut nerot jäivät salaamattomiksi kaikille aloittavalle turvallisuustutkijalle, kuten hänelle nähtiin.

”Pääsy minulla oli melkein mitä tahansa koulussa. Koulutusohjelmistojen verkkoturvallisuuden tila on todella huono, eikä tarpeeksi ihmisiä kiinnitä siihen huomiota, Demirkapi totesi Wiredin raportin mukaan.

Hän sanoi, että hän yritti aluksi ilmoittaa näistä haavoittuvuuksista sekä koululleen että kahdelle yritykselle, mutta ei otettu vakavasti. Taulun edustajat aavesivat häntä muutaman sähköpostin jälkeen, eikä Follett koskaan vastannut lainkaan.

Silloin hän sai idean tekstiilmoituksesta, hän sanoi. Jotain viranomaiset eivät voineet sivuuttaa. Ja vaikka se ansaitsi hänelle kahden päivän keskeytyksen, Follett ja Blackboard korjasivat viime kuussa ilmoitetut vuodot heidän ohjelmistonsa rajapintoihin.

Vaikka Follettin teknologiasta vastaava varatoimitusjohtaja George Gatsis kiitti Demirkapin avustamista näiden vikojen selvittämisessä, hän väitti Wiredille antamassaan lausunnossa, että teini-ikäinen ei olisi voinut päästä muihin tietoihin kuin omaan tietoonsa edes hyödyntämällä ilmoitettuja turvallisuusvirheitä. Demirkapi oli ymmärrettävästi eri mieltä ja sanoi, että hän osoitti yrityksen insinöörille ystävänsä hakkeroitu salasana todisteena.

Sekä Folletin että Blackboardin edustajat eivät reagoineet välittömästi Gizmodon tiedusteluihin.

DEF Con -esityksessään joukko kysyi äskettäin valmistuneelta Demirkapilta, mitä hänellä on nyt nähtävyyksiin. "Aloita yliopisto, ehkä riko heidän ohjelmistonsa", nuori hakkeri vastasi Mashablen raportin mukaan.

Ottaen huomioon kaikki uutiset äskettäisistä rikkomuksista - myös yhden saksalaisen opiskelijan, joka doxxed maansa poliitikot - Pelkkä toivomus siitä, että joukko tekstiviestejä hymiölle pysyy Demirkapin hakkeroinnin tuhoisimpana seurauksena.

Update 9:40 a.m., August 10: Blackboardin edustaja vastasi kommenttipyyntöyn seuraavalla lausunnolla:

”Tuotteidemme ja asiakkaidemme tietoturva on meille erittäin tärkeää. Arvostamme suuresti kolmansien osapuolien tutkijoita, jotka käyttävät vastuullisia tietoja ilmoittamaan meille kaikista haavoittuvuuksista. Kiitämme Bill Demirkapia siitä, että hän on ottanut nämä haavoittuvuudet huomioomme ja pyrkiessämme olemaan osa ratkaisua tuotteiden turvallisuuden parantamiseksi ja asiakkaamme henkilökohtaisten tietojen suojaamiseksi. Olemme käsitelleet kaikkia asioita, jotka herra Demirkapi on nostanut meille tietoon, eikä meillä ole mitään viitteitä siitä, että näitä haavoittuvuuksia olisi käytetty hyväksi tai että Mr. Demirkapi tai muu luvaton osapuoli olisi käyttänyt asiakkaiden henkilökohtaisia ​​tietoja. "

Tiedottajan mukaan Blackboard sai Demirkapista raportteja yrityksen ohjelmistojen haavoittuvuuksista kahdesti, toukokuussa 2017 ja kahdeksan kuukautta myöhemmin. Molemmat kertaa sen turvallisuusjoukot korjasivat havaitut virheet muutamassa viikossa. Lisätoimenpiteenä yritys työskentelee yhteistyössä määrittelemättömän tietoturvatoimittajan kanssa parantaakseen haavoittuvuuksien paljastamisohjelmaansa.

[h/t Mashable, Wired]

4 Comments

Other Alyse Stanley's posts

DoorDash ilmoittaa, että se korvaa kyseisen kokonaisen tip-skimming -järjestelmän asian DoorDash ilmoittaa, että se korvaa kyseisen kokonaisen tip-skimming -järjestelmän asian

Ilmeisesti ottaen Amazonin lyijy , DoorDash julkisti torstaina tarkistetun palkkamallin, jonka pitäisi noutaa kuriirilleen ” keskimäärin enemmän rahaa ” DoorDashin toimitusjohtajan Tony Xun mukaan - eli edelliseen verrattuna kärjen kuorinta yritystä on pureskeltu yli kuukausien ajan. Tämän vanhemman mallin kanssa elintarvikkeiden toimitussovellus käytti asiakkaiden vinkkejä tukeakseen vähimmäispalkkiota, jonka yritys takasi isilleen - eli DoorDash-toimitusmiehille. Joten esimerkiksi jos DoorDash lupasi...

Nintendo sanoo, että huhuttua vaihtokauppaa ei ole olemassa Nintendo sanoo, että huhuttua vaihtokauppaa ei ole olemassa

Joten tiedät kaikki nämä raportit aiemmin tällä viikolla noin Nintendo Switch vaihto-ohjelma ? Joo, osoittautuu, että se oli kaikki paskaa. Verge julkaisi lauantaina Nintendon edustajan virallisen lausunnon kaupan purkamisesta. Epävirallinen tarjous (ja valitettavasti nyt vahvistettu totta) tarjous todettiin ensin Redditissä , missä käyttäjät väittivät, että Nintendon virkamiehet suostuivat vaihtamaan nykyisen kytkimen uuteen malliin niin kauan kuin he ostivat konsolin...

Microsoft vahvistaa, että Cortana- ja Skype-nauhoituksesi eivät ole yksityisiä, eivätkä yllättävät ketään Microsoft vahvistaa, että Cortana- ja Skype-nauhoituksesi eivät ole yksityisiä, eivätkä yllättävät ketään

Jos et halua, että vieraat kuuntelevat laitteidesi nauhoituksia, näyttää siltä, ​​että joudut ehkä joutumaan verkkoon. Microsoftista tuli torstaina viimeisin tekniikan jättiläinen myöntämään, että se käyttää ihmisten urakoitsijoita tarkistamaan käyttäjiensä ääntä. Joten jos olet menettänyt kappaleen jo nyt, luettelo sisältää myös Omena , Amazon , Facebook ja Google . Uutiset tulevat hiljaisen päivityksen kautta Microsoftin online-tietosuojalausuntoon , joka liittää uuteen...

Ring lupasi swagin käyttäjille, jotka huumahtivat naapureistaan Ring lupasi swagin käyttäjille, jotka huumahtivat naapureistaan

Lisäksi heidän ovensoittovideonsa syötetään a poliisin seurantaverkko , Amazonin kotiturva-alan tytäryhtiö Ring, yritti myös kerran houkutella ihmisiä laukkulaukkuillaan napaamaan naapureitaan, emolevy kertoi perjantaina . Väitetään, että kaikki ohjeet esitetään saatuaan julkaisua koskevassa vuoden 2017 yritysesityksessä . Otsikko "Digitaalinen naapurivalvonta", diaesitys luultavasti lupasi mainoskoodit Ring merchille ja muille määrittelemättömille "swagille" niille, jotka muodostivat tarkkailuryhmät, ilmoittivat epäilyttävästä toiminnasta poliisille ja raivosivat...

Suggested posts

Apple haastaa Corellium -sovelluksen myyntiin pääsyn iOS: n pilvipohjaisiin ”täydellisiin kopioihin” Apple haastaa Corellium -sovelluksen myyntiin pääsyn iOS: n pilvipohjaisiin ”täydellisiin kopioihin”

Apple haastaa yrityksen Corellium LLC: n, joka ilmoittaa myyvänsä laittomasti iOS-käyttöjärjestelmänsä virtuaalisia kopioita laillisen turvallisuustutkimuksen teeskentelyllä, Bloomberg kertoi torstaina. Corellium mainostaa itseään “ensimmäisenä ja ainoana alustana, joka tarjoaa iOS: n, Androidin ja Linuxin virtualisointia ARM: ssä.” Per TechCrunch , yritys antaa käyttäjille mahdollisuuden olla vuorovaikutuksessa simuloitujen iOS-laitteiden, kuten iPhone tai iPad, kanssa verkkoportaalin kautta - mikä mahdollistaa tutkijat tekevät...

Syyttäjät sanovat, että Capital One -rikkomuksesta uhattiin ampumaan sosiaalisen median yritystä, syyttäjät sanovat Syyttäjät sanovat, että Capital One -rikkomuksesta uhattiin ampumaan sosiaalisen median yritystä, syyttäjät sanovat

Henkilö, jonka epäillään olevan massiivisen Capital One -sivun takana, joka vaaransi arvioidun tiedon 106 000 miljoonaa ihmistä on syytetty oikeudenkäynnissä uhkailusta "ampua ylös" Kaliforniassa sijaitseva sosiaalisen median yritys ja aiheuttaa haittaa itselleen ja muille. Syytökset esiintyivät hakemuksessa, jolla tuettiin Thompsonin 66-vuotiaan huonetoverin Park Quanin pidättämistä koskevaa päätöstä. Quan, joka omistaa talon, jossa Thompson asui, otettiin pidätykseen sen jälkeen, kun...

Las aerolíneas deberán "laite ja encender" -laite on 149 kappaletta ongelmana ohjelmisto Las aerolíneas deberán "laite ja encender" -laite on 149 kappaletta ongelmana ohjelmisto

Tener que reiniciar ja ordenador que, kun olet tarkistanut hinnat, jotka ovat meille erittäin vaivattomia, 1000 dollarin käytöstä. Haluatko 300 miljoonan dollarin kaupallisen heinän? Las aerolíneas kun ei ole olemassa todellista ohjelmistoa, Airbus A350 -mallien ylempi versio, encender, täydellisenä lentokoneena 149 kappaletta tai ariesmarkkinoilla, joka on ”parisilla osioilla tai kaikilla ohjelmilla, jotka toimivat avioliitossa”, EASA . A menos que...

Hakkerit ilmoittavat, että murtautuvat SyTechiin, Venäjän federaation turvallisuuspalvelun urakoitsijaan Hakkerit ilmoittavat, että murtautuvat SyTechiin, Venäjän federaation turvallisuuspalvelun urakoitsijaan

Hakkerit rikkoivat palvelimia Venäjän federaation turvallisuuspalvelun SyTechin urakoitsijalta ja varastivat noin 7,5 teratavua dataa saatuaan pääsyn yrityksen koko verkkoon aiemmin tässä kuussa, ZDnet kertoi lauantaina. ZDNetin mukaan kyseinen hakkerointiryhmä menee nimellä 0v1ru $ ja rikkoi myös Sytech-verkkosivustoa ”yoba facella”, venäjän kielellä meemille, joka tunnetaan osavaltiossa nimellä “Comfy Guy”. He saivat pääsyn SyTech-järjestelmiin 13. heinäkuuta murtautumalla yrityksen Active Directory -palvelimeen...

Opettajat Koristele koululaatikot näyttämään giganttiselta kirjahyllyltä Opettajat Koristele koululaatikot näyttämään giganttiselta kirjahyllyltä

High School -kaapit ovat uskomattoman tylsää, vain riviä metallirasiaa, joka yhdistää käytävät. Biloxin Mississippin Biloxi-lukion opettajat päättivät vaihtaa asiat hieman ja maalasi koulunsa oppilaat näyttämään kirjekuorista. Heidän taideteoksensa alkoivat viime syksynä, kun kaksi opettajaa kyllästyi katsomasta vanhoja, tylsiä, vihreitä kaappeja, jotka peittivät kahdeksannen luokan englantilaisen käytävän. Kaikki 189 kaapit on suljettu turvallisuussyistä yli 15 vuotta. Tämä on todella viileä,...

USA: n lupaukset Japanin auttamiseksi kyberturvallisuudella, Japanilla on valtava Hack-päivä myöhemmin USA: n lupaukset Japanin auttamiseksi kyberturvallisuudella, Japanilla on valtava Hack-päivä myöhemmin

Tänä viikonloppuna Yhdysvallat lupasi auttaa naudanlihaa Japanin tietoverkkosuoja. Kaksi päivää myöhemmin The Japan Times raportoi, että 1,25 miljoonaa joukkoa henkilötietojaan eläkejärjestelmästään on vuotanut valtavaan tietoverkkoon. 1,1 biljoonan dollarin Japanin eläkepalvelus ilmoitti maanantaina, että työntekijä avasi sähköpostitse lähetetyn viruksen, joka laukaisi massiivisen rikkomisen. (Muistutus: älä avaa epäilyttäviä liitteitä, ystäviä!) Yli miljoona ihmisen nimeä, syntymäpäivää, osoitetta tai eläke-tunnusta on vaarannettu. Viikonloppuna...

El nuevo Tesla Malli S tiene una bateria ja grande que see "desbloquear" pagando El nuevo Tesla Malli S tiene una bateria ja grande que see "desbloquear" pagando

Las realizaciones mediante software llegaron a los automóviles hace un par de años. Pronto será normal conseguir nuevas características en nuestros carros pagando, como lo hacemos en un móvil con una app . fi Tesla o, as nuevo Malli S . Los haudat edustavat del Malli X que Tesla no puede repetir con el Model 3 El nuevo Malli...

Obama haluaa tiukempia tietosuojalakia (jotka eivät vieläkään ole niin tiukkoja) Obama haluaa tiukempia tietosuojalakia (jotka eivät vieläkään ole niin tiukkoja)

Presidentti Obama ilmoittaa maanantaina kaksi uutta lainsäädäntöä , joiden tarkoituksena on suojella kuluttajia massiivisista tietojen rikkomisista ja niiden ahneiden yritysten opiskelijoista, jotka haluavat tietojaan. Hyvä idea! Jotkut ajattelevat kuitenkin, että Obaman suunnitelma ei kuulosta siltä, ​​että se tarjoaa riittävän suojan. Mutta se on silti hyvä idea! Ns. Henkilötietojen ilmoittamista ja suojaamista koskevan lain tarkoituksena on lieventää joidenkin sellaisten rikkomusten...

Uutiset Viimeisimmät tiedot uusinta teknologiaa Kiinan Julkkikset X-mail XYa tiene Jailbreak (pero no vale la pena hacerlo) Uutiset Viimeisimmät tiedot uusinta teknologiaa Kiinan Julkkikset X-mail XYa tiene Jailbreak (pero no vale la pena hacerlo)

El-pohjamaali Karkaaminen viralliset para iPhonet toimintojen aloitusversiot iOS 11 ya disponible, incluyendo para el iPhone X . Se ei ole lainkaan, sillä se on auki, se ei saa olla, eikä se ole voimassa, koska se ei ole käytettävissä. El jailbreak del iPhone ha muerto: los repositorios más grandes están cerrando Dos de los repositorios más tärkeitä asioita ja sotilaallisia...

Paella, ¯ \ _ (ツ) _ / ¯ y selfies : Todos los emojis que rechirá tu iPhone con iOS 10.2 Paella, ¯ \ _ (ツ) _ / ¯ y selfies : Todos los emojis que rechirá tu iPhone con iOS 10.2

los hymiöiden se han konverto da en de idosoma en en mundo, para bien o para mal. Y es que más dice un que muchas palabras. IPhone iPhone iPhone iPhone iPhone iPhone iPhone iPhone iPhone iPhone iPhone iPhone iPhone iPhone iPhone iPhone iPhone iPhone iPhone iPhone iPhone iPhone, orn Los emojis más extraños y menos utilizados que disfrutarás enviando...

Language