LOADING ...

Teen kertoo DEF CON: lle, kuinka hän hakkeroi miljoonia opiskelijarekistereitä suositusta koulutusohjelmasta [Päivitys]

Alyse Stanley Aug 10, 2019. 4 comments

"Hei Bill Demirkapista :)" lukei viestin, joka lähetettiin tuhansille vanhemmille, opiskelijoille ja opettajille hänen koulupiirinsä jälkeen, kun mainittu teini oli hakkeroinut koulunsa koulutusohjelmiston. Se oli yksi monista virheistä, jotka Demirkapi löysi viimeisen kolmen vuoden aikana - toinen paljasti miljoonia opiskelijoiden kirjaa -, jonka hän esitteli tämän vuoden DEF CON -tapahtumassa, hakkereiden valmistelukokouksessa Vegasissa.

Ohjelmisto kuului koulutuksen kahteen suurimpaan nimeen: Blackboard ja Follett. Yhdistettynä nämä teknologiayritykset tarjoavat online-koulutustuotteita yli puolelle Amerikan kouluista.

Demirkapin fuksi-vuoden aikana tylsyyden ja tavoitteettoman kunnianhimon seos johti häntä ryhtyä tutkimaan yritysten rajapintoja. Pelkästään Blackboardin Community Engagement -ohjelmistossa hän sai pääsyn noin viiden miljoonan opiskelijan tietueisiin, kaiken heidän puhelinnumeroista luokka-aikatauluihinsa, hyödyntämällä yleisiä virheitä, kuten ”ns. SQL-injektio- ja sivustojenvälisten komentosarjojen haavoittuvuuksia”. Langallisesti raportoitu . Hän löysi samanlaisia ​​virheitä Follettin opiskelijoiden tietojärjestelmästä, mukaan lukien opiskelijoiden salasanat, jotka jotkut neroet jäivät salaamattomiksi kaikille aloittavalle turvallisuustutkijalle, kuten hänelle.

”Pääsy minulla oli melkein mitä tahansa koulussa. Koulutusohjelmistojen verkkoturvallisuuden tila on todella huono, eikä tarpeeksi ihmisiä kiinnitä siihen huomiota, Demirkapi totesi Wiredin raportin mukaan.

Hän sanoi, että hän yritti aluksi ilmoittaa näistä haavoittuvuuksista sekä koululleen että kahdelle yritykselle, mutta ei otettu vakavasti. Taulun edustajat aavesivat häntä muutaman sähköpostin jälkeen, eikä Follett koskaan vastannut lainkaan.

Silloin hän sai idean tekstiilmoituksesta, hän sanoi. Jotain viranomaiset eivät voineet sivuuttaa. Ja vaikka se ansaitsi hänelle kahden päivän keskeytyksen, Follett ja Blackboard korjasivat viime kuussa ilmoitetut vuodot heidän ohjelmistonsa rajapintoihin.

Vaikka Follettin teknologiasta vastaava varatoimitusjohtaja George Gatsis kiitti Demirkapin avustamista näiden vikojen selvittämisessä, hän väitti Wiredille antamassaan lausunnossa, että teini-ikäinen ei olisi voinut päästä muihin tietoihin kuin omaan tietoonsa edes hyödyntämällä ilmoitettuja turvallisuusvirheitä. Demirkapi oli ymmärrettävästi eri mieltä ja sanoi, että hän osoitti yrityksen insinöörille ystävänsä hakkeroitu salasana todisteena.

Sekä Folletin että Blackboardin edustajat eivät reagoineet välittömästi Gizmodon tiedusteluihin.

DEF Con -esityksessään joukko kysyi äskettäin valmistuneelta Demirkapilta, mitä hänellä on nyt nähtävyyksiin. "Aloita yliopisto, ehkä riko heidän ohjelmistonsa", nuori hakkeri vastasi Mashablen raportin mukaan.

Ottaen huomioon kaikki uutiset äskettäisistä rikkomuksista - myös yhden saksalaisen opiskelijan, joka doxxed maansa poliitikot - Pelkkä toivomus siitä, että joukko tekstiviestejä hymiölle pysyy Demirkapin hakkeroinnin tuhoisimpana seurauksena.

Update 9:40 a.m., August 10: Blackboardin edustaja vastasi kommenttipyyntöyn seuraavalla lausunnolla:

”Tuotteidemme ja asiakkaidemme tietoturva on meille erittäin tärkeää. Arvostamme suuresti kolmansien osapuolien tutkijoita, jotka käyttävät vastuullisia tietoja ilmoittamaan meille kaikista haavoittuvuuksista. Kiitämme Bill Demirkapia siitä, että hän on ottanut nämä haavoittuvuudet huomioomme ja pyrkiessämme olemaan osa ratkaisua tuotteidemme turvallisuuden parantamiseksi ja asiakkaamme henkilökohtaisten tietojen suojaamiseksi. Olemme käsitelleet kaikkia asioita, jotka herra Demirkapi on saanut tietoomme, eikä meillä ole mitään viitteitä siitä, että näitä haavoittuvuuksia olisi käytetty hyväksi tai että Mr. Demirkapi tai muu luvaton osapuoli olisi käyttänyt asiakkaiden henkilökohtaisia ​​tietoja. "

Tiedottajan mukaan Blackboard sai Demirkapilta raportteja yrityksen ohjelmistojen haavoittuvuuksista kahdesti, toukokuussa 2017 ja kahdeksan kuukautta myöhemmin. Molemmat kertaa sen turvallisuusjoukot korjasivat havaitut virheet muutamassa viikossa. Lisätoimenpiteenä yritys työskentelee yhteistyössä määrittelemättömän tietoturvatoimittajan kanssa parantaakseen haavoittuvuuksien paljastamisohjelmaansa.

[h/t Mashable, Wired]

4 Comments

Other Alyse Stanley's posts

Aakkosten toimitusjohtaja on EU: n kanssa kasvojentunnistustekniikan moratoriossa, mutta Microsoft ei ole vakuuttunut Aakkosten toimitusjohtaja on EU: n kanssa kasvojentunnistustekniikan moratoriossa, mutta Microsoft ei ole vakuuttunut

Aakkoset ja Googlen toimitusjohtaja Sundar Pichai esittelivät äskettäin Euroopan unionin ehdotuksen kasvotunnistustekniikan väliaikaisesta kieltämisestä, kunnes virkamiehet täyttävät yksityisyyden suojaa koskevat määräykset. ”Mielestäni on tärkeää, että hallitukset ja määräykset käsittelevät sitä ennemmin kuin myöhemmin ja antavat kehyksen sille ”, hän sanoi maanantaina Brysselissä, Belgiassa pidetyssä konferenssissa, jonka ajatuspankki Bruegel johti, Reutersin raportin mukaan . "Se voi olla välitön, mutta ehkä...

Pokémon Go on jotenkin edelleen merkityksellinen meidän Herramme vuonna 2020 Pokémon Go on jotenkin edelleen merkityksellinen meidän Herramme vuonna 2020

Muistatko menneen aikakauden 2016? Voi palata takaisin tuohon aikaan, jolloin sen sijaan, että vapauttaisimme tappavat vaping sairaudet ja mahdollisuus III maailmansota , me kaikki pidimme kädestä ja laulsimme kumbayaa, jota yhdisti vakava Pokémon Go -kuumetapaus, joka pyyhkäisi maailmaa. Mutta jos sinä, kuten minä ja joukko muita, jotka kerran trudged ylös ja alas naapurustossa yrittäessään löytää uusi pirun Eevee, putosi...

Puerto Rico Struck 5,9-magnitudisella sokilla tuhoavan seismisen toiminnan viikon keskellä Puerto Rico Struck 5,9-magnitudisella sokilla tuhoavan seismisen toiminnan viikon keskellä

Puerto Ricoa kärsi lauantaiaamuna 5,9 voimakkuuden maanjäristys, joka oli yksi kolmesta voimakkaasta iskusta, joka järkytti saarta äskettäin seuraavien viikkojen pienempien järistysten seurauksena . Ravistus pahensi entisestään tuhoisia vaikutuksia Tiistaina 6,4 asteen maanjäristys oli alueen voimakkain tuntuma lähes vuosisadan aikana . Havaitsin yleensä jotain täältä kolmen tähden tulevasta huonosta onnesta, mutta tässä vaiheessa pyydän vain hiljaa maailmankaikkeutta antamaan Puerto Ricolle...

Wikipedian vuoden loppuluettelo näyttää mitä Internetin oli tiedettävä vuonna 2019 Wikipedian vuoden loppuluettelo näyttää mitä Internetin oli tiedettävä vuonna 2019

Yli 260 miljardia ihmistä Wikillä oli jotain tai muuta vuonna 2019, ja valtaosa heistä ilmeisesti jakoi samanlaisen kysymyksen: Mitä helvettiä minä vain katselin? Wikipedia paljasti perjantaina ilmestyneessä blogikirjoituksessa tutkijan Andrew Westin kokoaman vuoden suosituimmat englanninkieliset artikkelit, ja melkein kaikki niistä liittyvät elokuviin, televisio-ohjelmiin ja videopeleihin, jotka hallitsivat sosiaalisen median syötteitä yhdessä vaiheessa tai toinen. Mikään ei ole niin selkeämpää...

Suggested posts

Adoben kokeelliset uudet ominaisuudet edistävät tulevaisuutta, jossa mikään ei ole todellista Adoben kokeelliset uudet ominaisuudet edistävät tulevaisuutta, jossa mikään ei ole todellista

Adobe Max 2019 valmistui eilen, ja viime viikolla yritys (ja isäntä John Mulaney) paljasti joukon uusia automatisoituja ominaisuuksia, joita se kehittää parhaillaan useille sovelluksilleen - sekä työpöydälle että mobiililaitteille. Nämä demot ovat aina väkijoukkoja miellyttäviä ja kiusallisia kiusauksia siitä, kuinka käyttäjät voivat pian pystyä virtaviivaistamaan työnkulkuaan . Mutta viime vuosina nämä hiipatut kurkistukset ovat tarjonneet myös kuvan siitä, kuinka...

Alabaman sairaalat maksavat Ransomware Attackissa FBI: n varoituksen lisää tulevasta Alabaman sairaalat maksavat Ransomware Attackissa FBI: n varoituksen lisää tulevasta

Tuscaloosa News -lehden lauantain raportin mukaan Alabamassa toimiva DCH Health System ilmoitti, että se on maksanut hakkerit takaisin ransomware-hyökkäyksen takana, joka häiritsi vakavasti kolmen sairaalan toimintaa tiistaiaamuna alkaen. Uutiset seuraavat tarkkaan FBI: n varoitusta siitä, että kehittyneiden hyökkäysten lukumäärä yrityksiä, osavaltioita ja paikallisia hallituksia kohtaan jatkaa kasvuaan. Ransomware-hyökkäykset toimivat salaamalla kokonaiset tiedostojärjestelmät, ja hyökkääjät vaativat lunastusmaksuja (tyypillisesti kryptovaluutassa) oikean...

Googlen löytämät iPhone-hakkerointisivustot kävivät ilmeisesti myös Android- ja Windows-käyttäjien jälkeen Googlen löytämät iPhone-hakkerointisivustot kävivät ilmeisesti myös Android- ja Windows-käyttäjien jälkeen

Ne hakkerit, joita Googlen tutkijat epäilivät aiemmin tällä viikolla, ilmeisesti seuraavat enemmän kuin vain iPhonen käyttäjiä. Forbesin mukaan myös Microsoftin käyttöjärjestelmään ja Googlen omaan käyttöjärjestelmään kohdennettiin joissain raporteissa mahdollisesti valtion tukemaa yritystä vakoilla uiguurien etnistä ryhmää Kiinassa. Googlen uhka-analyysiryhmä oli ensin löytää järjestelmä aiemmin tänä vuonna (kampanjan uutisia paljastettiin ensimmäisen kerran torstaina). Siihen osallistui pieni ryhmä verkkosivustoja, joiden tarkoituksena...

Apple haastaa Corellium -sovelluksen myyntiin pääsyn iOS: n pilvipohjaisiin ”täydellisiin kopioihin” Apple haastaa Corellium -sovelluksen myyntiin pääsyn iOS: n pilvipohjaisiin ”täydellisiin kopioihin”

Apple haastaa yrityksen Corellium LLC: n, joka ilmoittaa myyvänsä laittomasti iOS-käyttöjärjestelmänsä virtuaalisia kopioita laillisen turvallisuustutkimuksen teeskentelyllä, Bloomberg kertoi torstaina. Corellium mainostaa itseään “ensimmäisenä ja ainoana alustana, joka tarjoaa iOS: n, Androidin ja Linuxin virtualisointia ARM: ssä.” Per TechCrunch , yritys antaa käyttäjille mahdollisuuden olla vuorovaikutuksessa simuloitujen iOS-laitteiden, kuten iPhone tai iPad, kanssa verkkoportaalin kautta - mikä mahdollistaa tutkijat tekevät...

Adoben uusi maalaussovellus on houkutteleva hiipivä kurkistus iPadin tulevaisuudessa Adoben uusi maalaussovellus on houkutteleva hiipivä kurkistus iPadin tulevaisuudessa

Selaimesi ei tue HTML5-videotunnistetta. Napsauta tätä nähdäksesi alkuperäisen GIF-tiedoston GIF: Andrew Liszewski (Gizmodo) Adobe Fresco ilmoitettiin ensimmäisen kerran viime lokakuussa, ja se on seuraavan sukupolven tablettien maalaus- ja kuvasovellus, joka valjastaa AI-makuja, jotta taiteilijat voivat työskennellä digitaalisten työkalujen kanssa, jotka käyttäytyvät ja tuntevat kuin perinteiset harjat ja maalit. Saimme varhaisen katselun sovelluksesta ennen sen julkaisua myöhemmin tänä vuonna, ja...

Syyttäjät sanovat, että Capital One -rikkomuksesta uhattiin ampumaan sosiaalisen median yritystä, syyttäjät sanovat Syyttäjät sanovat, että Capital One -rikkomuksesta uhattiin ampumaan sosiaalisen median yritystä, syyttäjät sanovat

Henkilö, jonka epäillään olevan massiivisen Capital One -sivun takana, joka vaaransi arvioidun tiedon 106 000 miljoonaa ihmistä on syytetty oikeudenkäynnissä uhkailusta "ampua ylös" Kaliforniassa sijaitseva sosiaalisen median yritys ja aiheuttaa haittaa itselleen ja muille. Syytökset esiintyivät hakemuksessa, jolla tuettiin Thompsonin 66-vuotiaan huonetoverin Park Quanin pidättämistä koskevaa päätöstä. Quan, joka omistaa talon, jossa Thompson asui, otettiin pidätykseen sen jälkeen, kun...

Las aerolíneas deberán "laite ja encender" -laite on 149 kappaletta ongelmana ohjelmisto Las aerolíneas deberán "laite ja encender" -laite on 149 kappaletta ongelmana ohjelmisto

Tener que reiniciar ja ordenador que, kun olet tarkistanut hinnat, jotka ovat meille erittäin vaivattomia, 1000 dollarin käytöstä. Haluatko 300 miljoonan dollarin kaupallisen heinän? Las aerolíneas kun ei ole olemassa todellista ohjelmistoa, Airbus A350 -mallien ylempi versio, encender, täydellisenä lentokoneena 149 kappaletta tai ariesmarkkinoilla, joka on ”parisilla osioilla tai kaikilla ohjelmilla, jotka toimivat avioliitossa”, EASA . A menos que...

Hakkeri varasti Capital One -tietoja 106 miljoonasta asiakkaasta, ja FBI sanoo, että hän tweetoi siitä Hakkeri varasti Capital One -tietoja 106 miljoonasta asiakkaasta, ja FBI sanoo, että hän tweetoi siitä

Hakkeri pyyhkäisi luottokorttihakemuksia, sosiaaliturvatunnuksia ja pankkitilitietoja, jotka koskivat yli 100 miljoonaa ihmistä Capital Onen palvelimelta, pankki ilmoitti maanantaina . Viranomaiset kertovat pidättäneensä epäillyn, Seattlen ohjelmistosuunnittelijan Paige Thompsonin sen jälkeen, kun hän oli ilmoittanut tapahtumasta sosiaaliseen mediaan, New York Times raportoi . "Olen pohjimmiltaan hihnannut itseni pommiliiviin, pudonnut pääomapohjat ja tunnustanut sen", Thompson lähetti väitetysti Slackiin, syyttäjät sanovat. New York...

Hakkerit ilmoittavat, että murtautuvat SyTechiin, Venäjän federaation turvallisuuspalvelun urakoitsijaan Hakkerit ilmoittavat, että murtautuvat SyTechiin, Venäjän federaation turvallisuuspalvelun urakoitsijaan

Hakkerit rikkoivat palvelimia Venäjän federaation turvallisuuspalvelun SyTechin urakoitsijalta ja varastivat noin 7,5 teratavua dataa saatuaan pääsyn yrityksen koko verkkoon aiemmin tässä kuussa, ZDnet kertoi lauantaina. ZDNetin mukaan kyseinen hakkerointiryhmä menee nimellä 0v1ru $ ja rikkoi myös Sytech-verkkosivustoa ”yoba facella”, venäjän kielellä meemille, joka tunnetaan osavaltiossa nimellä “Comfy Guy”. He saivat pääsyn SyTech-järjestelmiin 13. heinäkuuta murtautumalla yrityksen Active Directory -palvelimeen...

Raportti: NSO-ryhmän Pegasus-vakoiluohjelma voi tunkeutua pilvipalveluihin, välittää käyttäjätietoja palvelimelle Raportti: NSO-ryhmän Pegasus-vakoiluohjelma voi tunkeutua pilvipalveluihin, välittää käyttäjätietoja palvelimelle

Israelin vakoiluohjelmayrityksen NSO-ryhmän tehokas Pegasus-haittaohjelma - sama vakoiluohjelma, joka liittyy a WhatsAppin rikkominen aikaisemmin tänä vuonna — Pystyy kaapamaan kohteen tiedot Applen, Googlen, Amazonin, Facebookin, ja Microsoft, perjantaina Financial Times -lehden raportin mukaan. Timesin mukaan ”sen myyntipisteeseen perehtyneet ihmiset” ja vuotaneet myyntiasiakirjat osoittavat, että NSO-konsernin emoyhtiö Q-Cyber mainostaa Pegasusta kykynä kopioida todennusavaimet palveluihin, kuten Google Drive, Facebook Messenger ja...

Language