LOADING ...

Teen racconta al DEF CON come ha inciso milioni di record degli studenti dal popolare software educativo [Aggiornamento]

Alyse Stanley Aug 10, 2019. 4 comments

“Salve da Bill Demirkapi :)“ leggi il messaggio inviato a migliaia di genitori, studenti e insegnanti nel suo distretto scolastico dopo che il suddetto adolescente ha violato il software educativo della sua scuola. È stato uno dei tanti bug che Demirkapi ha scoperto negli ultimi tre anni - un altro esposto milioni di record di studenti - che ha presentato al DEF CON di quest'anno, una convention di hacker a Las Vegas.

Il software apparteneva a due dei più grandi nomi della tecnologia dell'istruzione: Blackboard e Follett. Insieme, queste aziende tecnologiche forniscono prodotti di formazione online per oltre la metà delle scuole in America.

Durante l'anno di matricola di Demirkapi, un mix di noia e ambizione senza scopo lo ha portato per iniziare a studiare le interfacce delle aziende. Solo nel software di Community Engagement di Blackboard, è stato in grado di accedere ai record di circa 5 milioni di studenti, tutto dai loro numeri di telefono ai loro programmi di classe, sfruttando bug comuni come "le cosiddette vulnerabilità di SQL injection e cross-site scripting" Wired segnalato . Ha trovato bug simili nel sistema informativo per studenti di Follett, comprese le password degli studenti che alcuni geni non lasciavano crittografare a nessun principiante ricercatore di sicurezza come lui.

“L'accesso che avevo era praticamente tutto ciò che la scuola aveva. Lo stato della sicurezza informatica nel software educativo è davvero pessimo, e non abbastanza persone ci stanno prestando attenzione, secondo Demirkapi secondo il rapporto di Wired.

Ha detto che inizialmente ha provato a segnalare queste vulnerabilità sia alla sua scuola che alle due società, ma non è stato preso sul serio. I rappresentanti della lavagna lo hanno fantasma dopo alcune e-mail e Follett non ha mai risposto affatto.

Questo è quando ha avuto l'idea per la notifica di testo, ha detto. Qualcosa che le autorità non potevano ignorare. E mentre gli è valso una sospensione di due giorni, il mese scorso Follett e Blackboard hanno corretto le perdite segnalate nelle interfacce del loro software.

Mentre il vicepresidente senior della tecnologia di Follett, George Gatsis, ha ringraziato quello di Demirkapi per aver aiutato a risolvere questi bug, ha affermato in Wired che l'adolescente non avrebbe potuto accedere a dati diversi dai suoi anche sfruttando i difetti di sicurezza segnalati. Demirkapi è comprensibilmente in disaccordo e afferma di aver dimostrato agli ingegneri dell'azienda la password violata dell'amico come prova.

I rappresentanti di Follet e Blackboard non hanno risposto immediatamente alle domande di Gizmodo.

Alla sua presentazione del DEF Con, un membro della folla ha chiesto a Demirkapi, ora recentemente laureato, cosa si è prefissato ora. "Inizia l'università, magari rompi il loro software", rispose il giovane hacker secondo il rapporto di Mashable.

Date tutte le notizie sulle recenti violazioni, inclusa una di un compagno di studi in Germania che

distrutto i politici del suo paese - Spero solo che mandare messaggi di massa a una faccina rimanga il risultato più nefasto dell'hacking di Demirkapi.

Update 9:40 a.m., August 10: un portavoce di Blackboard ha risposto alla nostra richiesta di commento con la seguente dichiarazione:

“La sicurezza dei nostri prodotti e delle informazioni dei nostri clienti è della massima importanza per noi. Apprezziamo molto i ricercatori di terze parti che utilizzano divulgazioni responsabili per avvisarci di eventuali vulnerabilità. Lodiamo Bill Demirkapi per aver portato queste vulnerabilità alla nostra attenzione e per aver cercato di far parte di una soluzione per migliorare la sicurezza dei nostri prodotti e proteggere le informazioni personali dei nostri clienti. Abbiamo affrontato tutte le questioni che sono state portate alla nostra attenzione da Mr. Demirkapi e non abbiamo alcuna indicazione che queste vulnerabilità siano state sfruttate o che il signor Demirkapi o qualsiasi altra parte non autorizzata abbia avuto accesso alle informazioni personali di qualsiasi cliente. "

Secondo il portavoce, Blackboard ha ricevuto segnalazioni da Demirkapi in merito alle vulnerabilità nel software dell'azienda in due occasioni, una volta a maggio 2017 e una volta otto mesi dopo. Entrambe le volte, i suoi team di sicurezza hanno corretto i bug segnalati nel giro di poche settimane. Come misura aggiuntiva, la società sta lavorando a collaborare con un fornitore di sicurezza non specificato per migliorare il suo programma di divulgazione delle vulnerabilità.

[h/t Mashable, Wired]

4 Comments

Other Alyse Stanley's posts

Orologi del giorno del giudizio, dilemmi sulla fisica delle particelle e una mummia parlante: le migliori storie di Gizmodo della settimana Orologi del giorno del giudizio, dilemmi sulla fisica delle particelle e una mummia parlante: le migliori storie di Gizmodo della settimana

Concediti una pacca sulla spalla, gente, perché abbiamo quasi superato il primo mese del 2020. Per quelli di voi che stanno ancora macinando duramen...

Motorola: Non farti prendere dal panico.  I "dossi e grumi" del tuo Razr sono normali Motorola: Non farti prendere dal panico. I "dossi e grumi" del tuo Razr sono normali

Motorola ha rilasciato un'intera serie di video di YouTube domenica sul suo nuovo Razr, un ritorno al suo omonimo telefono cellulare a metà degl...

Hong Kong chiude le scuole mentre il bilancio delle vittime aumenta durante l'epidemia di coronavirus Hong Kong chiude le scuole mentre il bilancio delle vittime aumenta durante l'epidemia di coronavirus

Tutti Hong Kong primari e secondari le scuole stanno chiudendo fino al 17 febbraio come parte dell'ultimo sforzo per frenare il mortale Wu...

Il CEO di Alphabet si schiera con la UE sulla moratoria della tecnologia del riconoscimento facciale, ma Microsoft non è convinta Il CEO di Alphabet si schiera con la UE sulla moratoria della tecnologia del riconoscimento facciale, ma Microsoft non è convinta

Il CEO di Alphabet e Google, Sundar Pichai, è recentemente uscito a sostegno di una proposta dell'Unione Europea per istituire un divieto tempor...

Suggested posts

Rapporto: Facebook ha aiutato la vulnerabilità legata all'exploit dell'FBI in una puntata Predator sicura per Linux Distro for Child Rapporto: Facebook ha aiutato la vulnerabilità legata all'exploit dell'FBI in una puntata Predator sicura per Linux Distro for Child

Il personale e gli ingegneri della sicurezza di Facebook hanno aiutato l'FBI a rintracciare un famigerato predatore infantile aiutando una società di...

Il giornalista avrebbe spiato su Zoom Meetings of Rivals in modi esilaranti Il giornalista avrebbe spiato su Zoom Meetings of Rivals in modi esilaranti

Il giornalista del Financial Times Mark Di Stefano avrebbe spiato le riunioni di Zoom sui giornali rivali l'Independent e lo Evening Standard per ott...

Lo zoom rende le misure di sicurezza di buon senso predefinite dopo ondate di attacchi di troll Lo zoom rende le misure di sicurezza di buon senso predefinite dopo ondate di attacchi di troll

A partire da domenica, Zoom inizierà a richiedere password e abilitare le sale di attesa virtuali per impostazione predefinita nel tentativo di repri...

Zoom ora sotto inchiesta da almeno 2 Stati sui reclami di sicurezza Zoom ora sotto inchiesta da almeno 2 Stati sui reclami di sicurezza

Diversi procuratori statali si stanno unendo in un'indagine sul software di teleconferenza Zoom, la cui crescita esponenziale nelle ultime settimane ...

Avvertenze sui problemi dell'FBI, il procuratore generale di New York fa una domanda dopo l'ondata di dirottamenti dello zoom Avvertenze sui problemi dell'FBI, il procuratore generale di New York fa una domanda dopo l'ondata di dirottamenti dello zoom

L'FBI ha emesso un avvertimento sulla messaggistica videoservizio Zoom e l'ufficio del procuratore generale di New York ha fatto un'indagine sulle su...

I difetti di crittografia lasciano milioni di auto Toyota, Kia e Hyundai vulnerabili alla clonazione delle chiavi I difetti di crittografia lasciano milioni di auto Toyota, Kia e Hyundai vulnerabili alla clonazione delle chiavi

Milioni di auto con chiavi radio abilitate prodotte da Toyota, Hyundai e Kia possono essere vulnerabile al dirottamento grazie a un difetto nell...

Sony ora consente a chiunque di creare i propri telecomandi per le sue fotocamere Sony ora consente a chiunque di creare i propri telecomandi per le sue fotocamere

Sony ha annunciato martedì un'altra funzionalità per le sue fotocamere digitali che la società spera di espandere la propria adozione tra i foto...

Rapporto: la Russia afferma che gli smartphone venduti nel Paese devono avere un software che supporti i valori tradizionali russi Rapporto: la Russia afferma che gli smartphone venduti nel Paese devono avere un software che supporti i valori tradizionali russi

Mesi dopo che la Russia ha vietato la vendita di gadget che non sono preinstallati con software di fabbricazione russa, i funzionari governativi di ...

Tutte queste persone estremamente potenti potrebbero voler ricontrollare che non sono state attaccate da un principe saudita Tutte queste persone estremamente potenti potrebbero voler ricontrollare che non sono state attaccate da un principe saudita

All'inizio del 2018, il principe ereditario saudita Mohammed bin Salman fatto un giro ampio degli Stati Uniti come parte di una strategia pe...

Cronaca: Il Principe ereditario saudita ha inviato personalmente malware a Jeff Bezos, forse per rubare quelle foto di Dick Cronaca: Il Principe ereditario saudita ha inviato personalmente malware a Jeff Bezos, forse per rubare quelle foto di Dick

Ecco un'altra svolta nel mistero di come le immagini del CEO di Amazon e del miliardario proprietario del Washington Post Il cazzo di Jeff Bez...

Language