LOADING ...

Teen forteller DEF CON hvordan han hacket millioner av studentrekorder fra populær utdanningsprogramvare [Oppdater]

Alyse Stanley Aug 10, 2019. 4 comments

“Hei fra Bill Demirkapi :)” leste meldingen som ble sendt til tusenvis av foreldre, elever og lærere i hans skolekrets etter at den nevnte tenåringen hacket skolens utdanningsprogramvare. Det var en av mange insekter Demirkapi oppdaget i løpet av de tre siste årene - en annen utsatte millioner av studentrekorder - som han presenterte på årets DEF CON, et hacker-stevne i Vegas.

Programvaren tilhørte to av de største navnene innen utdanningsteknologi: Blackboard og Follett. Kombinert tilbyr disse teknologifirmaene online utdanningsprodukter for mer enn halvparten av skolene i Amerika.

Under Demirkapis førsteårsår ledet en blanding av kjedsomhet og målløs ambisjon ham å begynne å undersøke selskapenes grensesnitt. I Blackboards Community Engagement-programvare alene kunne han få tilgang til poster for omtrent 5 millioner studenter, alt fra telefonnumre til klasseskjemaer, ved å utnytte vanlige bugs som "såkalte SQL-injeksjon og cross-site-scripting sårbarheter," Wired rapportert . Han fant lignende feil i Folletts studentinformasjonssystem, inkludert passord for studentene som noe geni lot være ukryptert for enhver ny sikkerhetsforsker som ham å se.

“Tilgangen jeg hadde var stort sett hva skolen hadde. Tilstanden for cybersecurity i utdanningsprogramvare er virkelig ille, og ikke nok folk tar hensyn til det, sa Demirkapi i følge Wires rapport.

Han sa at han først prøvde å rapportere om disse sikkerhetsproblemene til både skolen sin og de to selskapene, men at han ikke ble tatt på alvor. Blackboard-representanter spøkte ham etter noen få e-poster, og Follett svarte aldri i det hele tatt.

Det var da han fikk ideen til tekstvarslingen, sa han. Noe myndigheter ikke kunne ignorere. Og mens det tjente ham en to dager lang suspensjon, la Follett og Blackboard opp de rapporterte lekkasjene i programvarens grensesnitt forrige måned.

Mens Folletts teknologiminister, George Gatsis, takket Demirkapis for at han hjalp dem med å suss ut av disse feilene, fastholdt han i en uttalelse til Wired at tenåringen umulig kunne ha fått tilgang til andre data enn hans egne, selv ved å utnytte de rapporterte sikkerhetsfeilene. Demirkapi var forståelig nok uenig og sa at han viste selskapets ingeniører vennens hacket passord som bevis.

Representanter fra både Follet og Blackboard svarte ikke umiddelbart på henvendelsene til Gizmodo.

På sin DEF Con-presentasjon spurte et medlem av mengden Demirkapi, som nå nylig ble uteksaminert, hva han har satt sitt syn på nå. "Start college, kanskje ødelegg programvaren deres," svarte den unge hackeren ifølge Mashables rapport.

Gitt alle nyhetene om nylige brudd - inkludert en av en stipendiat i Tyskland som gjorde sitt lands politikere —Håper bare håpet at masseteksting av et smilefjes forblir det mest ubehagelige resultatet av Demirkapis hacking.

Update 9:40 a.m., August 10: En talsperson for Blackboard svarte på vår forespørsel om kommentar med følgende uttalelse:

“Sikkerhet for våre produkter og våre kunders informasjon er av største viktighet for oss. Vi setter stor pris på tredjeparts forskere som bruker ansvarlige avsløringer for å varsle oss om eventuelle sårbarheter. Vi roser Bill Demirkapi for å bringe disse sikkerhetsproblemene oppmerksomhet og for å strebe etter å være en del av en løsning for å forbedre våre produkters sikkerhet og beskytte kundens personlige informasjon. Vi har tatt opp alle spørsmål som ble henvist til av Mr. Demirkapi og har ingen indikasjoner på at disse sårbarhetene ble utnyttet eller at noen kunders personlige informasjon ble gitt tilgang til Mr. Demirkapi eller noen annen uautorisert part. ”

Ifølge talspersonen mottok Blackboard rapporter fra Demirkapi om sårbarheter i selskapets programvare ved to anledninger, en gang i mai 2017 og en gang åtte måneder senere. Begge ganger lappet sikkerhetsteamene de nevnte feilene i løpet av noen uker. Som et ekstra tiltak jobber selskapet etter sigende med å samarbeide med en uspesifisert sikkerhetsleverandør for å forbedre informasjonsprogrammet for sårbarhet.

[h/t Mashable, Wired]

4 Comments

Other Alyse Stanley's posts

Dommedagsklokker, partikkelfysikk-kvartaler og en snakkende mamma: Ukens beste Gizmodo-historier Dommedagsklokker, partikkelfysikk-kvartaler og en snakkende mamma: Ukens beste Gizmodo-historier

Gi deg en klapp på ryggen, folkens, for vi har nesten klart det gjennom den første måneden i 2020. For de av dere som fortsatt kverner hardt over nyttårsforsettene, gratulerer! Når det gjelder de av dere som allerede har kastet deg hindrende fra vognen, er du fremdeles like gyldig og nydelig og morgendagens alltid en ny dag! Denne uken...

Motorola: Ikke få panikk.  Din Razrs "støt og klumper" er normale Motorola: Ikke få panikk. Din Razrs "støt og klumper" er normale

Motorola ga ut en hel rekke YouTube-videoer søndag om sin nye Razr, et fornyet tilbakeslag til midten av 2000-tallet med samme navn, for å feire telefonens forhåndsbestilling. Men med dem kom en ansvarsfraskrivelse om den sammenleggbare telefonen: “Skjermen er laget for å bøye; humper og klumper er normale. ” Forhåndssalg ble imidlertid tilgjengelig i dag eksklusivt gjennom Verizon til...

Alfabetes administrerende direktør med EU på ansiktsgjenkjenningsteknologisk moratorium, men Microsoft er ikke overbevist Alfabetes administrerende direktør med EU på ansiktsgjenkjenningsteknologisk moratorium, men Microsoft er ikke overbevist

Alfabet og Googles administrerende direktør Sundar Pichai kom nylig ut for å støtte et forslag fra EU om å innføre et midlertidig forbud mot ansiktsgjenkjenningsteknologi inntil tjenestemenn øker personvernforskrifter. ”Jeg tror det er viktig at myndigheter og forskrifter takler det før heller enn senere og gir et rammeverk for det, ”sa han mandag på en konferanse i Brussel, Belgia...

Hvorfor vil ikke Jeff Bezos sende Dick Picks for å redde Koalas? Hvorfor vil ikke Jeff Bezos sende Dick Picks for å redde Koalas?

Ambassadør Jeff Bezos har kommet med overskrifter i det siste etter å ha gitt 690 000 dollar (1 million australske dollar) for å hjelpe Australia med å komme seg etter ødeleggende buskbranner brant 26,4 millioner dekar — og teller. Men nå, la meg stille deg et spørsmål, kjære leser: Hva om han hadde pisket pikken hans ut? Jeg beklager...

Suggested posts

Alle disse ekstremt mektige menneskene vil kanskje dobbeltsjekke at de ikke ble hacket av en saudisk prins Alle disse ekstremt mektige menneskene vil kanskje dobbeltsjekke at de ikke ble hacket av en saudisk prins

Tidlig i 2018 saudiske kronprins Mohammed bin Salman tok en feiende tur av USA som ledd i en strategi for å omdirigere Saudi-Arabias regjerende monarki som en moderniserende styrke og trekke fra seg “Vision 2030” -planen - snakkes med en liste over bedriftsadministratorer og politikere som leser som en hvem som er listen over den amerikanske eliten. Turen ble...

Stranger Breaks In Ring Camera, Terroriserer 8-åringen i den siste skumle Ring Hack Stranger Breaks In Ring Camera, Terroriserer 8-åringen i den siste skumle Ring Hack

En hacker brøt seg inn i den ene Mississippi-familiens Ring-sikkerhetskamera og brukte sin høyttalerfunksjon for å skremme deres 8 år gamle datter, rapporterte det lokale CNN-tilknyttede WMC denne uken . Denne hendelsen markerer den siste i en fersk serier av rapporterte Ringhakk der fremmede terroriserer brukere gjennom enhetene sine, og demonstrerer grunn nummer 1, 467 hvorfor kan det være...

Ti år etter klimaklasse har forskerne vunnet — men hva med resten av verden? Ti år etter klimaklasse har forskerne vunnet — men hva med resten av verden?

Når jeg ser tilbake på 2009, var det et av de mest konsekvensårene i klima og ikke på en god måte. Klimaforhandlingene i København det året skulle antagelig gi omfattende klimaforhold. I stedet endte de i en sølepytt bare for å bli forløst litt seks år senere i Paris. En av de medvirkende faktorene til uenigheten i København var...

Ærlig talt, et videospill som styrker deg på en kjedelig seks timers flytur er akkurat det jeg trenger akkurat nå Ærlig talt, et videospill som styrker deg på en kjedelig seks timers flytur er akkurat det jeg trenger akkurat nå

Videospill kan være en fantastisk flukt fra stresset i hverdagen, men ikke når du jager høye score, eller skriker på skjermen fordi du nettopp ble snipet. Et nytt spill kalt Airplane Mode kan gi den mest avslappede spillopplevelsen som kan tenkes, ettersom spillere bare får i oppgave å glede seg over turen som passasjer på en seks timers transatlantisk...

Adobes eksperimentelle nye funksjoner lover en fremtid der ingenting er reelt Adobes eksperimentelle nye funksjoner lover en fremtid der ingenting er reelt

Adobe Max 2019 pakket sammen i går, og i løpet av den siste uken avslørte selskapet (og verten John Mulaney) en haug med nye automatiserte evner, den utvikler for tiden for sine forskjellige applikasjoner - både på stasjonær og mobil. Disse demoene er alltid publikum og fristende ertinger av hvordan brukere snart kan være i stand til å effektivisere...

Nettverk av 'Camgirl' nettsteder som er utsatt for brukere og sexarbeidere Nettverk av 'Camgirl' nettsteder som er utsatt for brukere og sexarbeidere

Et selskap som driver flere nettsteder med camworkere, la back-endedatabasen ubeskyttet, slik at data fra hundretusener - om ikke millioner - av kunder og sexarbeidere kan bli utsatt. TechCrunch rapporterer at forskere ved cybersecurity-firmaet Condition: Black avdekket at VTS Media, et Barcelona-basert selskap, lot databasen være eksponert. VTS driver “camgirl” -nettverk som webcampornoxxx.net, placercams.com og amateru.rv, som er blant...

Alabama-sykehus betaler ut i Ransomware-angrep midt i FBI Advarsel om mer å komme Alabama-sykehus betaler ut i Ransomware-angrep midt i FBI Advarsel om mer å komme

Det Alabama-baserte DCH Health System sa at det har betalt hackerne bak et ransomware-angrep som forstyrret driften ved tre sykehus som startet tirsdag morgen, ifølge en lørdagrapport fra Tuscaloosa News . Nyheten følger nøye med på en FBI-advarsel om at antallet sofistikerte angrep på virksomheter og statlige og lokale myndigheter fortsetter å klatre. Ransomware-angrep fungerer ved å kryptere hele...

Rapport: University of Iowa Fakultet fortalte ikke å fremme Greta Thunberg-besøk på skolens sosiale medier Rapport: University of Iowa Fakultet fortalte ikke å fremme Greta Thunberg-besøk på skolens sosiale medier

Tjenestemenn fra University of Iowa har sagt til fakultetet ved skolen at de ikke skal fremme 16 år gamle svenske miljøaktivisten Greta Thunbergs overraskelsesopptreden på en fredagsklimaangrep i Iowa City på dets sosiale mediekanaler, ifølge en rapport i Gazette . UI sivil- og miljøingeniørprofessor Michelle Scherer, som også er assisterende direktør for et National Science Foundation Sustainable Water Development...

Hva Windows 10X er - og hvorfor det er fremtiden for Microsoft-programvare Hva Windows 10X er - og hvorfor det er fremtiden for Microsoft-programvare

Vi har fått en annen variant av Microsofts operativsystem for å holde oversikt over: Windows 10X . Den kommer først til dual-screen Overflate Neo grunn i 2020, men bak kulissene forteller den oss mye mer om fremtiden til Windows på flere enheter og formfaktorer - og vi har alt du trenger å vite om denne nye innkjøringen på Windows....

IPhone-hackingsidene Google fant tilsynelatende, gikk også etter Android- og Windows-brukere IPhone-hackingsidene Google fant tilsynelatende, gikk også etter Android- og Windows-brukere

De hackerne Googles forskere susset ut tidligere denne uken gikk tilsynelatende etter mer enn bare iPhone-brukere. Microsofts operativsystem sammen med Googles var også målrettet, ifølge Forbes , i det noen rapporter kaller en muligens statsstøttet innsats for å spionere på den uighuriske etniske gruppen i Kina. Googles trusselanalysegruppe var først å oppdage ordningen tidligere i år (nyheter om kampanjen...

Language