LOADING ...

Teen racconta al DEF CON come ha inciso milioni di record degli studenti dal popolare software educativo [Aggiornamento]

Alyse Stanley Aug 10, 2019. 4 comments

“Salve da Bill Demirkapi :)“ leggi il messaggio inviato a migliaia di genitori, studenti e insegnanti nel suo distretto scolastico dopo che il suddetto adolescente ha violato il software educativo della sua scuola. È stato uno dei tanti bug che Demirkapi ha scoperto negli ultimi tre anni - un altro esposto milioni di record di studenti - che ha presentato al DEF CON di quest'anno, una convention di hacker a Las Vegas.

Il software apparteneva a due dei più grandi nomi della tecnologia dell'istruzione: Blackboard e Follett. Insieme, queste aziende tecnologiche forniscono prodotti di formazione online per oltre la metà delle scuole in America.

Durante l'anno di matricola di Demirkapi, un misto di noia e ambizione senza scopo lo ha portato a iniziare a indagare sulle interfacce delle aziende. Solo nel software di Community Engagement di Blackboard, è stato in grado di accedere ai record di circa 5 milioni di studenti, tutto dai loro numeri di telefono ai loro programmi di classe, sfruttando bug comuni come "le cosiddette vulnerabilità di SQL injection e cross-site scripting" Wired segnalato . Ha trovato bug simili nel sistema informativo per studenti di Follett, comprese le password degli studenti che alcuni geni non lasciavano crittografare a qualsiasi nascente ricercatore di sicurezza come lui.

“L'accesso che avevo era praticamente tutto ciò che la scuola aveva. Lo stato della sicurezza informatica nel software educativo è davvero pessimo, e non abbastanza persone ci stanno prestando attenzione, secondo Demirkapi secondo il rapporto di Wired.

Ha detto che inizialmente ha provato a segnalare queste vulnerabilità sia alla sua scuola che alle due società, ma non è stato preso sul serio. I rappresentanti della lavagna lo hanno fantasma dopo alcune e-mail e Follett non ha mai risposto affatto.

Questo è quando ha avuto l'idea per la notifica di testo, ha detto. Qualcosa che le autorità non potevano ignorare. E mentre gli è valso una sospensione di due giorni, il mese scorso Follett e Blackboard hanno corretto le perdite segnalate nelle interfacce del loro software.

Mentre il vicepresidente senior della tecnologia di Follett, George Gatsis, ha ringraziato quello di Demirkapi per aver aiutato a risolvere questi bug, ha affermato in Wired che l'adolescente non avrebbe potuto accedere a dati diversi dai suoi anche sfruttando i difetti di sicurezza segnalati. Demirkapi è comprensibilmente in disaccordo e afferma di aver dimostrato agli ingegneri dell'azienda la password violata dell'amico come prova.

I rappresentanti di Follet e Blackboard non hanno risposto immediatamente alle domande di Gizmodo.

Alla sua presentazione del DEF Con, un membro della folla ha chiesto a Demirkapi, ora recentemente laureato, su cosa ha messo gli occhi adesso. "Inizia l'università, magari rompi il loro software", rispose il giovane hacker secondo il rapporto di Mashable.

Date tutte le notizie sulle recenti violazioni, inclusa una di un compagno di studi in Germania che distrutto i politici del suo paese - Spero solo che mandare messaggi di massa a una faccina rimanga il risultato più nefasto dell'hacking di Demirkapi.

Update 9:40 a.m., August 10: un portavoce di Blackboard ha risposto alla nostra richiesta di commento con la seguente dichiarazione:

“La sicurezza dei nostri prodotti e delle informazioni dei nostri clienti è della massima importanza per noi. Apprezziamo molto i ricercatori di terze parti che utilizzano divulgazioni responsabili per avvisarci di eventuali vulnerabilità. Lodiamo Bill Demirkapi per aver portato queste vulnerabilità alla nostra attenzione e per aver cercato di far parte di una soluzione per migliorare la sicurezza dei nostri prodotti e proteggere le informazioni personali dei nostri clienti. Abbiamo affrontato tutte le questioni che sono state portate alla nostra attenzione da Mr. Demirkapi e non abbiamo alcuna indicazione che queste vulnerabilità siano state sfruttate o che il signor Demirkapi o qualsiasi altra parte non autorizzata abbia avuto accesso alle informazioni personali di qualsiasi cliente. "

Secondo il portavoce, Blackboard ha ricevuto segnalazioni da Demirkapi in merito alle vulnerabilità nel software dell'azienda in due occasioni, una volta a maggio 2017 e una volta otto mesi dopo. Entrambe le volte, i suoi team di sicurezza hanno corretto i bug segnalati nel giro di poche settimane. Come misura aggiuntiva, la società sta lavorando a collaborare con un fornitore di sicurezza non specificato per migliorare il suo programma di divulgazione delle vulnerabilità.

[h/t Mashable, Wired]

4 Comments

Other Alyse Stanley's posts

Microsoft conferma che le tue registrazioni Cortana e Skype non sono private, né sorprendente nessuno Microsoft conferma che le tue registrazioni Cortana e Skype non sono private, né sorprendente nessuno

A questo punto, se non vuoi che estranei ascoltino le registrazioni dai tuoi dispositivi, sembra che potresti dover semplicemente uscire dalla griglia. Giovedì, Microsoft è diventata l'ultimo colosso della tecnologia ad ammettere che utilizza appaltatori umani per rivedere l'audio dei propri utenti. Quindi, nel caso in cui tu abbia perso la traccia ormai, anche quell'elenco include Mela , Amazon...

L'amministrazione Trump autorizza le "bombe al cianuro" a uccidere i maiali selvatici.  Sul serio. L'amministrazione Trump autorizza le "bombe al cianuro" a uccidere i maiali selvatici. Sul serio.

Giovedì l'amministrazione Trump ha autorizzato un'altra arma nella guerra americana contro orde da 30 a 50 maiali selvatici che corrono attraverso i cortili e terrorizzano i bambini della nostra nazione: "bombe al cianuro". Questo è ciò che i critici chiamano M-44, le trappole utilizzate da agenzie federali come Wildlife Services per uccidere coyote, volpi e altri allevatori di animali...

La proposta di legge vuole che le aziende tecnologiche paghino il naso se l'indagine DOJ scopre violazioni dell'antitrust La proposta di legge vuole che le aziende tecnologiche paghino il naso se l'indagine DOJ scopre violazioni dell'antitrust

I senatori statunitensi Amy Klobuchar e Richard Blumenthal hanno proposto venerdì una legislazione antitrust che, se approvata, potrebbe dare al dipartimento di giustizia sonda lanciata di recente in preoccupazioni di monopolio tra le grandi aziende tecnologiche alcuni denti seri se venissero alla luce violazioni. I due democratici lo chiamano "Monopolization Deterrence Act", ha riferito Reuters . Questa legislazione garantirebbe...

La notizia della morte di un dipendente presso una struttura Tesla rinnova i riflettori sulla storia delle preoccupazioni in materia di sicurezza La notizia della morte di un dipendente presso una struttura Tesla rinnova i riflettori sulla storia delle preoccupazioni in materia di sicurezza

Tesla ha confermato martedì che il corpo di uno dei suoi dipendenti è stato trovato al Gigfactory della scorsa settimana e che la polizia sta attualmente indagando sull'incidente, ha riferito Business Insider . Il corpo di Michael Johnston, 61 anni, è stato trovato al terzo piano della fabbrica del Nevada il 22 luglio, secondo quanto riferito dal dipartimento di...

Suggested posts

Apple fa causa a Corellium per aver venduto l'accesso a "repliche perfette" basate su cloud di iOS Apple fa causa a Corellium per aver venduto l'accesso a "repliche perfette" basate su cloud di iOS

Apple ha citato in giudizio una società, la Corellium LLC, che afferma che sta rivendendo illegalmente copie virtuali del suo sistema operativo iOS sotto la pretesa di una legittima ricerca sulla sicurezza, secondo quanto riferito da Bloomberg . Corellium si pubblicizza come "la prima e unica piattaforma per offrire la virtualizzazione iOS, Android e Linux su ARM". Per TechCrunch...

Hacker accusato di violazione del capitale Una violazione minacciata di "sparare" alla società di social media, sostengono i procuratori Hacker accusato di violazione del capitale Una violazione minacciata di "sparare" alla società di social media, sostengono i procuratori

L'individuo sospettato di essere dietro la massiccia violazione dei dati di Capital One che ha compromesso i dati di una stima 106.000 milioni di persone è stato accusato in un tribunale di aver minacciato di "sparare" a una società di social media con sede in California e di causare danni a se stessa e agli altri. Le accuse sono...

Las aerolíneas deberán "apagar y encender" è stato pubblicato in 149 ore per un problema di software Las aerolíneas deberán "apagar y encender" è stato pubblicato in 149 ore per un problema di software

Prima di ricominciare con un ordine in cui è stato trasmesso un dias di utilizzo o un inconveniente menor per un dispositivo da $ 1000. Qual è il fieno di un'aviazione commerciale di più di $ 300 milioni? Le aerolinee che non sono state implementate nel software di modelli di Airbus A350 sono ora disponibili e rese completamente disponibili...

Un pirata informatico ha rubato dati di capitale su 106 milioni di clienti e l'FBI afferma che ha twittato al riguardo Un pirata informatico ha rubato dati di capitale su 106 milioni di clienti e l'FBI afferma che ha twittato al riguardo

Un hacker ha spazzato via applicazioni di carta di credito, numeri di previdenza sociale e informazioni sul conto bancario che interessano più di 100 milioni di persone dal server di Capital One, ha annunciato la banca lunedì . Le autorità affermano di aver arrestato un sospetto, l'ingegnere del software di Seattle Paige Thompson, dopo che aveva pubblicato un post...

Un modo semplice per proteggersi nell'era dei dump delle password Un modo semplice per proteggersi nell'era dei dump delle password

Nelle ultime due ore sono stati violati tre importanti account di social media: gli account Twitter di Newsweek e il CFO di Twitter Anthony Noto , così come Account Facebook di Delta Airlines . E c'è di più. C'erano a Tutte quelle password pubblicate stamattina ! Un esperto di sicurezza ben intenzionato ha assemblato 10 milioni di password trapelate...

El nuevo Tesla Model S tiene una batería más grande que se puede "desbloquear" pagando El nuevo Tesla Model S tiene una batería más grande que se puede "desbloquear" pagando

Realizzazione con software gratuito a basso costo per auto. Pronto será normale conseguir nuevas características en nuestros carros pagando, así como lo hacemos en un móvil con una app . en Tesla esto ya es así, y ahora la compañía permite "desbloquear" una batería más grande con un pago de algunos miles de dólares en el nuevo Modello S...

Adobe sta finalmente uccidendo Flash (per davvero, questa volta) Adobe sta finalmente uccidendo Flash (per davvero, questa volta)

Eccolo, nascondendo a metà strada l'ultimo comunicato stampa della compagnia , come una ghigliottina in una piazza affollata: "Adobe sta pianificando la realizzazione di Flash di fine vita." Boom. Questo è il suono della lama che cade, e infine, alla fine, Flash, morendo misericordiosamente. Perché Adobe l'ha appena ucciso. In realtà è leggermente più complicato di così. Adobe sta...

Il riassunto dell'interferenza cibernetica russa di Barr nelle elezioni del 2016 è comicamente leggero sui dettagli Il riassunto dell'interferenza cibernetica russa di Barr nelle elezioni del 2016 è comicamente leggero sui dettagli

Domenica, il Procuratore Generale William Barr ha rilasciato il suo riassunto dell'indagine del Consigliere speciale Robert Mueller sulla presunta interferenza russa per potenziare Donald Trump nelle elezioni del 2016 - un rapporto che afferma che ci sono voluti 19 avvocati che sono stati assistiti da una squadra di circa 40 agenti dell'FBI, analisti dell'intelligence, contabili forensi e altro personale...

Adiós para siempre: BlackBerry Messenger deja de existir como lo conocemos Adiós para siempre: BlackBerry Messenger deja de existir como lo conocemos

BlackBerry è la versione per i consumatori di BlackBerry Messenger (BBM) el 31 de mayo. La compagna ha anunciato su blog que "los usuarios se han trasladado a otras plataformas" y que es "triste decir adiós". In poco più di un emitirán reintegrato per l'acquisto di stickers per l'app, e BBMoji desaparecerá . L'aplicación dejará de funcionar . BBM,...

Salta del concerto al termine de tus fotos in iOS con solo un toque Salta del concerto al termine de tus fotos in iOS con solo un toque

Il tuo browser non supporta il tag video HTML5. Clicca qui per vedere la GIF originale Sei uno di fronte ai tuoi amici in iOS che sei conozcas pero que, si no, te ahorra bastante tiempo. Si tratta di una foto di mucche fotografiche e di iPhone, che ha visto muchas veces haciendo scroll sin parar hasta llegar a...

Language