LOADING ...

Teen forteller DEF CON hvordan han hacket millioner av studentrekorder fra populær utdanningsprogramvare [Oppdater]

Alyse Stanley Aug 10, 2019. 4 comments

“Hallo fra Bill Demirkapi :)” leste meldingen som ble sendt til tusenvis av foreldre, elever og lærere i skoledistriktet hans etter at den nevnte tenåringen hacket skolens utdanningsprogramvare. Det var en av mange feil Demirkapi oppdaget i løpet av de siste tre årene - en annen utsatte millioner av studentrekorder - som han presenterte på årets DEF CON, et hacker-stevne i Vegas.

Programvaren tilhørte to av de største navnene innen utdanningsteknologi: Blackboard og Follett. Kombinert tilbyr disse teknologifirmaene online utdanningsprodukter for mer enn halvparten av skolene i Amerika.

Under Demirkapis førsteårsår førte en blanding av kjedsomhet og målløs ambisjon ham til å begynne å undersøke selskapenes grensesnitt. I Blackboards Community Engagement-programvare alene kunne han få tilgang til poster for omtrent 5 millioner studenter, alt fra telefonnumre til klasseplanene sine, ved å utnytte vanlige bugs som "såkalte SQL-injeksjon og cross-site-scripting sårbarheter," Wired rapportert . Han fant lignende feil i Folletts studentinformasjonssystem, inkludert studentpassord som noe geni lot være ukryptert for enhver ny sikkerhetsforsker som ham å se.

“Tilgangen jeg hadde var stort sett hva skolen hadde. Tilstanden for cybersecurity i utdanningsprogramvare er virkelig ille, og ikke nok nok folk tar hensyn til det, sa Demirkapi ifølge Wires rapport.

Han sa at han først prøvde å rapportere om disse sikkerhetsproblemene til både skolen sin og de to selskapene, men at han ikke ble tatt på alvor. Blackboard-representanter spøkte ham etter noen få e-poster, og Follett svarte aldri i det hele tatt.

Det var da han fikk ideen til tekstvarslingen, sa han. Noe myndigheter ikke kunne ignorere. Og mens det tjente ham en to dager lang suspensjon, la Follett og Blackboard opp de rapporterte lekkasjene i programvarens grensesnitt forrige måned.

Mens Folletts teknologipresident, George Gatsis, takket Demirkapis for at han hjalp dem med å sussere ut disse feilene, fastholdt han i en uttalelse til Wired at tenåringen umulig kunne ha fått tilgang til andre data enn hans egne, selv ved å utnytte de rapporterte sikkerhetsfeilene. Demirkapi var forståelig nok uenig og sa at han viste selskapets ingeniører vennens hacket passord som bevis.

Representanter fra både Follet og Blackboard svarte ikke umiddelbart på henvendelsene til Gizmodo.

På sin DEF Con-presentasjon spurte et medlem av mengden Demirkapi, som nå nylig ble uteksaminert, hva han har satt sitt syn på nå. "Start college, kanskje ødelegg programvaren deres," svarte den unge hackeren ifølge Mashables rapport.

Gitt alle nyhetene om nylige brudd - inkludert en av en stipendiat i Tyskland som gjorde sitt lands politikere —Håper bare håpet at masseteksting av et smilefjes forblir det mest ubehagelige resultatet av Demirkapis hacking.

Update 9:40 a.m., August 10: En talsperson for Blackboard svarte på vår forespørsel om kommentar med følgende uttalelse:

“Sikkerhet for våre produkter og våre kunders informasjon er av største viktighet for oss. Vi setter stor pris på tredjeparts forskere som bruker ansvarlige avsløringer for å varsle oss om eventuelle sårbarheter. Vi roser Bill Demirkapi for å ha oppmerksomheten rundt disse sikkerhetsproblemene og for å strebe etter å være en del av en løsning for å forbedre våre produkters sikkerhet og beskytte kundens personlige informasjon. Vi har tatt opp alle spørsmål som ble henvist til av Mr. Demirkapi og har ingen indikasjoner på at disse sårbarhetene ble utnyttet eller at noen kunders personlige informasjon ble gitt tilgang til Mr. Demirkapi eller noen annen uautorisert part. ”

Ifølge talspersonen mottok Blackboard rapporter fra Demirkapi om sårbarheter i selskapets programvare ved to anledninger, en gang i mai 2017 og en gang åtte måneder senere. Begge ganger lappet sikkerhetsteamene de nevnte feilene i løpet av noen uker. Som et ekstra tiltak jobber selskapet etter sigende med å samarbeide med en uspesifisert sikkerhetsleverandør for å forbedre informasjonsprogrammet for sårbarhet.

[h/t Mashable, Wired]

4 Comments

Other Alyse Stanley's posts

Ring lovet swag til brukere som narc på sine naboer Ring lovet swag til brukere som narc på sine naboer

På toppen av å gjøre dørklokkevideo-strømningene deres til politiets overvåkningsnett , Amazons datterselskap, Ring, prøvde også en gang å lokke folk med veskeposer til å snike på naboene, melder Motherboard fredag . Instruksjonene er angivelig alle lagt ut i en bedriftspresentasjon for 2017 publikasjonen som ble innhentet. Navngivet "Digital Neighborhood Watch", lysbildefremvisningen tilsynelatende lovet promo-koder for Ring merch og...

Trump-administrasjonen autoriserer 'Cyanide Bombs' til å drepe Feral Hogs.  Alvor. Trump-administrasjonen autoriserer 'Cyanide Bombs' til å drepe Feral Hogs. Alvor.

Torsdag autoriserte Trump-administrasjonen et annet våpen i USAs krig mot skattefunn av 30 til 50 vildsvin som løper gjennom gårdsplassene og terroriserer nasjonens barn: "cyanidbomber." Det er det kritikere kaller M-44-er, feller som brukes av føderale byråer som Wildlife Services for å drepe coyoter, rever og andre ville dyrs ranchers og bønder vil vurdere skadedyr. De fjærbelastede enhetene fikk...

Foreslåtte bill ønsker tekniske selskaper å betale ut nesen hvis DOJ-henvendelse avdekker antitrustbrudd Foreslåtte bill ønsker tekniske selskaper å betale ut nesen hvis DOJ-henvendelse avdekker antitrustbrudd

De amerikanske senatorene Amy Klobuchar og Richard Blumenthal foreslo antitrustlovgivning fredag ​​som, hvis vedtatt, kunne gi justisdepartementets nylig lansert sonde noen alvorlige tenner om monopolproblemer blant store teknologiselskaper hvis noen brudd kommer fram. De to demokratene kaller det "Monopolization Deterrence Act", melder Reuters . Denne lovgivningen vil gi Department of Justice og Federal Trade Commission muligheten til å ilegge...

En Hacker stjal Capital One-data om 106 millioner kunder, og FBI sier at hun twitret om det En Hacker stjal Capital One-data om 106 millioner kunder, og FBI sier at hun twitret om det

En hacker sveipet kredittkortapplikasjoner, personnummer og bankkontoinformasjon som berørte mer enn 100 millioner mennesker fra Capital One's server, kunngjorde banken mandag . Myndighetene sier at de arresterte en mistenkt, programvareingeniør Seattle, Paige Thompson, etter at hun la ut om hendelsen på sosiale medier, melder New York Times . "Jeg har i utgangspunktet fanget meg med en bombevest, droppet kapitalenes...

Suggested posts

Apple saksøker Corellium for å selge tilgang til skybaserte 'perfekte kopier' av iOS Apple saksøker Corellium for å selge tilgang til skybaserte 'perfekte kopier' av iOS

Apple saksøker et selskap, Corellium LLC, som det sier at de ulovlig videreselger virtuelle kopier av sitt iOS-operativsystem under forutsetning av legitim sikkerhetsforskning, melder Bloomberg torsdag. Corellium annonserer seg selv som "den første og eneste plattformen som tilbyr iOS, Android og Linux-virtualisering på ARM." Per TechCrunch lar selskapet brukere samhandle med simulerte iOS-enheter som en iPhone eller iPad via...

Hacker som er anklaget for Capital One-brudd truet for å «skyte opp» sosiale medieselskap, sier aktorene Hacker som er anklaget for Capital One-brudd truet for å «skyte opp» sosiale medieselskap, sier aktorene

Personen som mistenkes for å stå bak det enorme bruddet på Capital One som kompromitterte dataene til anslagsvis 106.000 millioner mennesker har blitt anklaget i en rettssak som truet med å «skyte opp» et California-basert selskap i sosiale medier og forårsake skade på seg selv og andre. Anklagene dukket opp i en innlevering til støtte for en bevegelse om...

Las aerolíneas deberán "apagar y encender" er avión cada 149 horas por un problema de software Las aerolíneas deberán "apagar y encender" er avión cada 149 horas por un problema de software

Tener que reiniciar un ordenador que se ha ralentizado tras unos días de uso es un inconveniente menor para un dispositivo de $ 1000. Pero è qué hay de un avión comercial de más de $ 300 millones? Las aerolíneas que no hayan actualizado el software de ciertos modelos de Airbus A350 tendens que apagar and encender completamente el...

En Hacker stjal Capital One-data om 106 millioner kunder, og FBI sier at hun twitret om det En Hacker stjal Capital One-data om 106 millioner kunder, og FBI sier at hun twitret om det

En hacker sveipet kredittkortapplikasjoner, personnummer og bankkontoinformasjon som berørte mer enn 100 millioner mennesker fra Capital One's server, kunngjorde banken mandag . Myndighetene sier at de arresterte en mistenkt, programvareingeniør Seattle, Paige Thompson, etter at hun la ut om hendelsen på sosiale medier, melder New York Times . "Jeg har i utgangspunktet fanget meg med en bombevest, droppet kapitalenes...

Den nye Raspberry Pi er i utgangspunktet en $ 35 stasjonær datamaskin Den nye Raspberry Pi er i utgangspunktet en $ 35 stasjonær datamaskin

Det er sjelden å komme over en skreddersydd gadget eller a smart hacked enhet det har ikke noe lite Raspberry Pi inni det. Det har lenge vært en av de enkleste og billigste måtene å drive en skreddersydd opprettelse på, men den nye Raspberry Pi , som ble annonsert tidligere i dag, pakker betydelige oppgraderinger som kan la det...

Hva er den mest overbevisende phishing-svindelen du noensinne har sett? Hva er den mest overbevisende phishing-svindelen du noensinne har sett?

Phishing-svindel er ofte opplagt. For eksempel sendte en hacker-bot bare noen Gizmodo-forfattere med emnelinjen: "Send dine fulle kontaktopplysninger for å gjøre en do na ti på krav." LOL ikke en sjanse. Men farlig overbevisende phishing svindel eksisterer definitivt. I fjor var et par sjokkerende overbevisende phishing-svindlere rettet mot Google og Apple-brukere. En brukte en google.com-URL å lure folk til...

Rapport: Jeff Bezos møtes med anklagere over påstander Saudis hacket hans nakender Rapport: Jeff Bezos møtes med anklagere over påstander Saudis hacket hans nakender

CNN rapporterer at Amazon CEO Jeff Bezos er "planlagt å møte med føderale anklagere i New York så snart denne uken" om påstander om at National Enquirer tabloid og dets morselskap, American Media Inc., engasjert seg i utpressing og utpressing med en stjålet naken og andre kjønn fra et utålmodig forhold. The Enquirer / AMI fikk bildene mens de...

Ecuador Arrests Digital Privacy Activist og Programmerer for "Samarbeid" med WikiLeaks Ecuador Arrests Digital Privacy Activist og Programmerer for "Samarbeid" med WikiLeaks

Politiet i Ecuador har arrestert svensk programmør og digital privatlivsaktivist Ola Bini for angivelig å forsøke å destabilisere den ecuadoriske regjeringen ved å "samarbeide" med WikiLeaks. Bini ble arrestert på Quito flyplass i Ecuador på vei til Japan. Ecuadors inrikesminister, Maria Paula Romo, heter ikke Bini når han kunngjør arrestasjonen, men sa at en person var ønsket for "etterforskningsformål"....

Er jeg en idiot for fortsatt å bruke en passordbehandling? Er jeg en idiot for fortsatt å bruke en passordbehandling?

Hackere brøt seg i populær passordbehandling LastPass denne uka , som gir noen åpenbare spørsmål: Hvis tjenesten du bruker for å beskytte passordene dine fra å bli kompromittert, blir kompromittert, bør du fortsatt bruke det? Er det veldig klokt å lagre alle passordene våre i skyen? Du er ikke en idiot Først av, nei, du er ikke en idiot...

Marcus Hutchins, sikkerhetsforsker som stoppet wannacry, pleier å være skadelig for skadelig programvare Marcus Hutchins, sikkerhetsforsker som stoppet wannacry, pleier å være skadelig for skadelig programvare

Marcus Hutchins, sikkerhetsforskeren mest kjent for å bidra til å stoppe den utbredte WannaCry ransomware angrep , har påtalt seg skyldig i kostnader knyttet til skadelig programvare som ikke er forbundet med 2017-angrepet. "Som du kanskje vet, har jeg påtalt meg to tiltaler knyttet til å skrive skadelig programvare i årene før min karriere i sikkerhet," sa Hutchins i...

Language