LOADING ...

Teen forteller DEF CON hvordan han hacket millioner av studentrekorder fra populær utdanningsprogramvare [Oppdater]

Alyse Stanley Aug 10, 2019. 4 comments

“Hei fra Bill Demirkapi :)” leste meldingen som ble sendt til tusenvis av foreldre, elever og lærere i hans skolekrets etter at den nevnte tenåringen hacket skolens utdanningsprogramvare. Det var en av mange insekter Demirkapi oppdaget i løpet av de tre siste årene - en annen utsatte millioner av studentrekorder - som han presenterte på årets DEF CON, et hacker-stevne i Vegas.

Programvaren tilhørte to av de største navnene innen utdanningsteknologi: Blackboard og Follett. Kombinert tilbyr disse teknologifirmaene online utdanningsprodukter for mer enn halvparten av skolene i Amerika.

Under Demirkapis førsteårsår ledet en blanding av kjedsomhet og målløs ambisjon ham å begynne å undersøke selskapenes grensesnitt. I Blackboards Community Engagement-programvare alene kunne han få tilgang til poster for omtrent 5 millioner studenter, alt fra telefonnumre til klasseskjemaer, ved å utnytte vanlige bugs som "såkalte SQL-injeksjon og cross-site-scripting sårbarheter," Wired rapportert . Han fant lignende feil i Folletts studentinformasjonssystem, inkludert passord for studentene som noe geni lot være ukryptert for enhver ny sikkerhetsforsker som ham å se.

“Tilgangen jeg hadde var stort sett hva skolen hadde. Tilstanden for cybersecurity i utdanningsprogramvare er virkelig ille, og ikke nok folk tar hensyn til det, sa Demirkapi i følge Wires rapport.

Han sa at han først prøvde å rapportere om disse sikkerhetsproblemene til både skolen sin og de to selskapene, men at han ikke ble tatt på alvor. Blackboard-representanter spøkte ham etter noen få e-poster, og Follett svarte aldri i det hele tatt.

Det var da han fikk ideen til tekstvarslingen, sa han. Noe myndigheter ikke kunne ignorere. Og mens det tjente ham en to dager lang suspensjon, la Follett og Blackboard opp de rapporterte lekkasjene i programvarens grensesnitt forrige måned.

Mens Folletts teknologiminister, George Gatsis, takket Demirkapis for at han hjalp dem med å suss ut av disse feilene, fastholdt han i en uttalelse til Wired at tenåringen umulig kunne ha fått tilgang til andre data enn hans egne, selv ved å utnytte de rapporterte sikkerhetsfeilene. Demirkapi var forståelig nok uenig og sa at han viste selskapets ingeniører vennens hacket passord som bevis.

Representanter fra både Follet og Blackboard svarte ikke umiddelbart på henvendelsene til Gizmodo.

På sin DEF Con-presentasjon spurte et medlem av mengden Demirkapi, som nå nylig ble uteksaminert, hva han har satt sitt syn på nå. "Start college, kanskje ødelegg programvaren deres," svarte den unge hackeren ifølge Mashables rapport.

Gitt alle nyhetene om nylige brudd - inkludert en av en stipendiat i Tyskland som gjorde sitt lands politikere —Håper bare håpet at masseteksting av et smilefjes forblir det mest ubehagelige resultatet av Demirkapis hacking.

Update 9:40 a.m., August 10: En talsperson for Blackboard svarte på vår forespørsel om kommentar med følgende uttalelse:

“Sikkerhet for våre produkter og våre kunders informasjon er av største viktighet for oss. Vi setter stor pris på tredjeparts forskere som bruker ansvarlige avsløringer for å varsle oss om eventuelle sårbarheter. Vi roser Bill Demirkapi for å bringe disse sikkerhetsproblemene oppmerksomhet og for å strebe etter å være en del av en løsning for å forbedre våre produkters sikkerhet og beskytte kundens personlige informasjon. Vi har tatt opp alle spørsmål som ble henvist til av Mr. Demirkapi og har ingen indikasjoner på at disse sårbarhetene ble utnyttet eller at noen kunders personlige informasjon ble gitt tilgang til Mr. Demirkapi eller noen annen uautorisert part. ”

Ifølge talspersonen mottok Blackboard rapporter fra Demirkapi om sårbarheter i selskapets programvare ved to anledninger, en gang i mai 2017 og en gang åtte måneder senere. Begge ganger lappet sikkerhetsteamene de nevnte feilene i løpet av noen uker. Som et ekstra tiltak jobber selskapet etter sigende med å samarbeide med en uspesifisert sikkerhetsleverandør for å forbedre informasjonsprogrammet for sårbarhet.

[h/t Mashable, Wired]

4 Comments

Other Alyse Stanley's posts

Adobes legge til en livestreaming-funksjon til Creative Cloud-apper Adobes legge til en livestreaming-funksjon til Creative Cloud-apper

I stedet for å bruke tredjepartsplattformer som Youtube og Twitch, vil artister snart kunne livestream prosessen sin direkte gjennom hvilken som helst Adobe Creative Cloud-app de jobber i i henhold til en Verge-rapport . Det er en av mange eksperimentelle funksjoner selskapet kunngjorde på denne ukens Adobe Max kreativitetskonferanse, inkludert noen ganske imponerende demonstrasjoner som viser hvordan kunstig intelligens...

Disney-administrerende direktør kutter bånd med Apple fordi de ikke blir kalt 'Streaming Wars' for ingenting Disney-administrerende direktør kutter bånd med Apple fordi de ikke blir kalt 'Streaming Wars' for ingenting

Disney-administrerende direktør Bob Iger har bukket seg ut av Apples styre foran det som er sikker på å være en opphetet konkurranse i november når begge selskapene slipper sine frittstående frittstående strømmetjenester. Ifølge en innlevering Apple ble sendt inn til Verdipapir- og utvekslingskommisjonen på fredag, trakk han seg 10. september, sammenfallende med selskapets årlige iPhone ekstravaganza , som også...

Google bekrefter DOJ-gransking, sier at det må utlevere antitrustposter Google bekrefter DOJ-gransking, sier at det må utlevere antitrustposter

Justisdepartementet gir mandat til at Googles morselskap, Alfabet, overleverer all informasjon om tidligere antitrustundersøkelser av tech-giganten, kunngjorde Google fredag. Dette markerer selskapets første offentlige innrømmelse av at det er blant selskapene som blir anmeldt som ledd i en omfattende, antitrustetterforskning Justisdepartementet lanserte i juli. Ifølge en arkivering fra SEC som også ble offentliggjort fredag, har selskapet erkjent en ekstra...

Først en Rainbow-logo, nå en Rainbow Cube;  Apple, hva betyr det hele ?! Først en Rainbow-logo, nå en Rainbow Cube; Apple, hva betyr det hele ?!

Dagene tikker ned til kl Apples årlige fall soiree , men det betyr ikke at ryktemøllen snart må slutte å kvise. På fredag ​​ga selskapet en midlertidig regnbue-makeover til den ikoniske glaskuben. Fifth Avenue-butikken i New York City er kjent for å feire slutten på en to år lang renoveringsprosess. Og hele inventaret har en ganske sterk likhet med...

Suggested posts

Adobes eksperimentelle nye funksjoner lover en fremtid der ingenting er reelt Adobes eksperimentelle nye funksjoner lover en fremtid der ingenting er reelt

Adobe Max 2019 pakket sammen i går, og i løpet av den siste uken avslørte selskapet (og verten John Mulaney) en haug med nye automatiserte evner, den utvikler for tiden for sine forskjellige applikasjoner - både på stasjonær og mobil. Disse demoene er alltid publikum og fristende ertinger av hvordan brukere snart kan være i stand til å effektivisere...

Nettverk av 'Camgirl' nettsteder som er utsatt for brukere og sexarbeidere Nettverk av 'Camgirl' nettsteder som er utsatt for brukere og sexarbeidere

Et selskap som driver flere nettsteder med camworkere, la back-endedatabasen ubeskyttet, slik at data fra hundretusener - om ikke millioner - av kunder og sexarbeidere kan bli utsatt. TechCrunch rapporterer at forskere ved cybersecurity-firmaet Condition: Black avdekket at VTS Media, et Barcelona-basert selskap, lot databasen være eksponert. VTS driver “camgirl” -nettverk som webcampornoxxx.net, placercams.com og amateru.rv, som er blant...

IPhone-hackingsidene Google fant tilsynelatende, gikk også etter Android- og Windows-brukere IPhone-hackingsidene Google fant tilsynelatende, gikk også etter Android- og Windows-brukere

De hackerne Googles forskere susset ut tidligere denne uken gikk tilsynelatende etter mer enn bare iPhone-brukere. Microsofts operativsystem sammen med Googles var også målrettet, ifølge Forbes , i det noen rapporter kaller en muligens statsstøttet innsats for å spionere på den uighuriske etniske gruppen i Kina. Googles trusselanalysegruppe var først å oppdage ordningen tidligere i år (nyheter om kampanjen...

Apple saksøker Corellium for å selge tilgang til skybaserte 'perfekte kopier' av iOS Apple saksøker Corellium for å selge tilgang til skybaserte 'perfekte kopier' av iOS

Apple saksøker et selskap, Corellium LLC, som det sier at de ulovlig videreselger virtuelle kopier av sitt iOS-operativsystem under forutsetning av legitim sikkerhetsforskning, melder Bloomberg torsdag. Corellium annonserer seg selv som "den første og eneste plattformen som tilbyr iOS, Android og Linux-virtualisering på ARM." Per TechCrunch lar selskapet brukere samhandle med simulerte iOS-enheter som en iPhone eller iPad via...

Hacker som er anklaget for Capital One-brudd truet for å «skyte opp» sosiale medieselskap, sier aktorene Hacker som er anklaget for Capital One-brudd truet for å «skyte opp» sosiale medieselskap, sier aktorene

Personen som mistenkes for å stå bak det enorme bruddet på Capital One som kompromitterte dataene til anslagsvis 106.000 millioner mennesker har blitt anklaget i en rettssak som truet med å «skyte opp» et California-basert selskap i sosiale medier og forårsake skade på seg selv og andre. Anklagene dukket opp i en innlevering til støtte for en bevegelse om...

Las aerolíneas deberán "apagar y encender" er avión cada 149 horas por un problema de software Las aerolíneas deberán "apagar y encender" er avión cada 149 horas por un problema de software

Tener que reiniciar un ordenador que se ha ralentizado tras unos días de uso es un inconveniente menor para un dispositivo de $ 1000. Pero è qué hay de un avión comercial de más de $ 300 millones? Las aerolíneas que no hayan actualizado el software de ciertos modelos de Airbus A350 tendens que apagar and encender completamente el...

En Hacker stjal Capital One-data om 106 millioner kunder, og FBI sier at hun twitret om det En Hacker stjal Capital One-data om 106 millioner kunder, og FBI sier at hun twitret om det

En hacker sveipet kredittkortapplikasjoner, personnummer og bankkontoinformasjon som berørte mer enn 100 millioner mennesker fra Capital One's server, kunngjorde banken mandag . Myndighetene sier at de arresterte en mistenkt, programvareingeniør Seattle, Paige Thompson, etter at hun la ut om hendelsen på sosiale medier, melder New York Times . "Jeg har i utgangspunktet fanget meg med en bombevest, droppet kapitalenes...

Den nye Raspberry Pi er i utgangspunktet en $ 35 stasjonær datamaskin Den nye Raspberry Pi er i utgangspunktet en $ 35 stasjonær datamaskin

Det er sjelden å komme over en skreddersydd gadget eller a smart hacked enhet det har ikke noe lite Raspberry Pi inni det. Det har lenge vært en av de enkleste og billigste måtene å drive en skreddersydd opprettelse på, men den nye Raspberry Pi , som ble annonsert tidligere i dag, pakker betydelige oppgraderinger som kan la det...

Hva er den mest overbevisende phishing-svindelen du noensinne har sett? Hva er den mest overbevisende phishing-svindelen du noensinne har sett?

Phishing-svindel er ofte opplagt. For eksempel sendte en hacker-bot bare noen Gizmodo-forfattere med emnelinjen: "Send dine fulle kontaktopplysninger for å gjøre en do na ti på krav." LOL ikke en sjanse. Men farlig overbevisende phishing svindel eksisterer definitivt. I fjor var et par sjokkerende overbevisende phishing-svindlere rettet mot Google og Apple-brukere. En brukte en google.com-URL å lure folk til...

Rapport: Jeff Bezos møtes med anklagere over påstander Saudis hacket hans nakender Rapport: Jeff Bezos møtes med anklagere over påstander Saudis hacket hans nakender

CNN rapporterer at Amazon CEO Jeff Bezos er "planlagt å møte med føderale anklagere i New York så snart denne uken" om påstander om at National Enquirer tabloid og dets morselskap, American Media Inc., engasjert seg i utpressing og utpressing med en stjålet naken og andre kjønn fra et utålmodig forhold. The Enquirer / AMI fikk bildene mens de...

Language