LOADING ...

Teen berättar DEF CON hur han hackade miljontals studentrekord från populär utbildningsprogramvara [Uppdatering]

Alyse Stanley Aug 10, 2019. 4 comments

"Hej från Bill Demirkapi :)" läste meddelandet som skickades till tusentals föräldrar, elever och lärare i hans skolområde efter att den nämnda tonåringen hackade skolans utbildningsprogramvara. Det var en av många buggar som Demirkapi upptäckte under de senaste tre åren - en annan exponerade miljoner studentrekord - som han presenterade vid årets DEF CON, en hackerkonvention i Vegas.

Programvaran tillhörde två av de största namnen inom utbildningstekniken: Blackboard och Follett. Sammantaget tillhandahåller dessa teknikföretag onlineutbildningsprodukter för mer än hälften av skolorna i Amerika.

Under Demirkapis nyårsår ledde en blandning av tristess och mållös ambition honom att börja undersöka företagens gränssnitt. I Blackboards Community Engagement-mjukvara ensam kunde han få tillgång till poster för ungefär 5 miljoner studenter, allt från deras telefonnummer till deras klassplaner, genom att utnyttja vanliga buggar som "så kallade SQL-injektioner och scripting-sårbarheter," Wired rapporterade . Han hittade liknande buggar i Folletts studentinformationssystem, inklusive studentlösenord som någon geni lämnade okrypterad för alla nyfikna säkerhetsforskare som han kunde se.

”Tillgången jag hade var i stort sett vad skolan hade. Tillståndet för cybersäkerhet i utbildningsprogramvara är verkligen dåligt, och inte tillräckligt många människor uppmärksammar det, säger Demirkapi enligt Wires rapport.

Han sa att han inledningsvis försökte rapportera dessa sårbarheter till både sin skola och de två företagen men att de inte togs på allvar. Blackboard-representanter spökade honom efter några e-postmeddelanden, och Follett svarade aldrig alls.

Det var när han fick idén till textmeddelandet, sa han. Något myndigheter kunde inte ignorera. Och medan det fick honom en två-dagars suspension, Follett och Blackboard gjorde upp de rapporterade läckorna i programvarans gränssnitt förra månaden.

Medan Folletts teknikdirektör, George Gatsis, tackade Demirkapis för att hjälpa dem att sussa ut dessa buggar, hävdade han i ett uttalande till Wired att tonåringen inte kunde ha fått tillgång till andra data än hans egen även genom att utnyttja de rapporterade säkerhetsbristerna. Demirkapi var förståeligt oenig och sa att han visade företagets ingenjörer att hans väns hackade lösenord var ett bevis.

Representanter på både Follet och Blackboard svarade inte omedelbart på Gizmodos undersökningar.

Vid sin DEF Con-presentation frågade en folkmassa Demirkapi, nu nyutexaminerad, vad han har fått uppmärksamma nu. "Börja college, kanske bryta programvaran," svarade den unga hackaren enligt Mashables rapport.

Med tanke på alla nyheter om nyligen intrång - inklusive en av en medstuderande i Tyskland som gjorde sitt lands politiker - Vi hoppas bara att massa smsar ett smiley ansikte förblir det mest nedslående resultatet av Demirkapis hacking.

Update 9:40 a.m., August 10: En talesman för Blackboard svarade på vår begäran om kommentar med följande uttalande:

”Säkerheten för våra produkter och våra kunders information är av största vikt för oss. Vi uppskattar mycket tredjepartsforskare som använder ansvarsfulla avslöjanden för att varna oss om eventuella sårbarheter. Vi lovordar Bill Demirkapi för att ha uppmärksammat dessa sårbarheter och för att sträva efter att vara en del av en lösning för att förbättra våra produkts säkerhet och skydda vår kunds personliga information. Vi har tagit upp alla frågor som fick uppmärksamhet av Mr. Demirkapi och har inga indikationer på att dessa sårbarheter utnyttjades eller att någon kunds personliga information åtkomdes av Mr. Demirkapi eller någon annan obehörig part. ”

Enligt talesmannen fick Blackboard rapporter från Demirkapi om sårbarheter i företagets programvara vid två tillfällen, en gång i maj 2017 och en gång åtta månader senare. Båda gångerna lappade dess säkerhetsteam de noterade buggarna inom några veckor. Som en extra åtgärd arbetar företaget enligt samarbete med en ospecificerad säkerhetsleverantör för att förbättra sitt informationsprogram om sårbarhet.

[h/t Mashable, Wired]

4 Comments

Other Alyse Stanley's posts

Microsoft bekräftar att dina Cortana- och Skype-inspelningar inte är privata, överraskande ingen Microsoft bekräftar att dina Cortana- och Skype-inspelningar inte är privata, överraskande ingen

Om du inte vill att främlingar ska lyssna på inspelningar från dina enheter på det här ser det ut som om du kanske bara måste gå ut från nätet. På torsdag blev Microsoft den senaste teknikjätten som medgav att den använder mänskliga entreprenörer för att granska användarnas ljud. Så om du har tappat spår nu inkluderar listan också Äpple...

Ring utlovad Swag till användare som narc på sina grannar Ring utlovad Swag till användare som narc på sina grannar

På toppen av att förvandla deras dörrklocka video feeds till en polisövervakningsnät , Amazons dotterbolag för hemsäkerhet, Ring, försökte också en gång att locka människor med ryggsäckar att rycka på sina grannar, rapporterade Motherboard fredag . Instruktionerna är påstås alla anges i en företagspresentation 2017 som den erhållna publikationen. Med titeln "Digital Neighborhood Watch", bildspelet lovade uppenbarligen kampanjkoder för...

Trump Administration godkänner "Cyanide Bombs" för att döda Feral Hogs.  Allvarligt. Trump Administration godkänner "Cyanide Bombs" för att döda Feral Hogs. Allvarligt.

På torsdagen godkände Trump-administrationen ett annat vapen i USA: s krig mot horder av 30 till 50 vilda svin som springer genom gårdar och terroriserar våra nationers barn: "cyanidbomber." Det är vad kritiker kallar M-44, fällor som används av federala byråer som Wildlife Services för att döda coyoter, rävar och andra vilda djur som gårdar och jordbrukare skulle överväga...

Föreslagna Bill vill att tekniska företag ska betala ut näsan om DOJ-förfrågan upptäcker antitrustöverträdelser Föreslagna Bill vill att tekniska företag ska betala ut näsan om DOJ-förfrågan upptäcker antitrustöverträdelser

De amerikanska senatorerna Amy Klobuchar och Richard Blumenthal föreslog antitrustlagstiftningen på fredag ​​som, om godkänd, skulle kunna ge justitiedepartementets nyligen lanserad sond i monopolproblem bland stora teknikföretag några allvarliga tänder om några överträdelser kommer fram. De två demokraterna kallar det "Monopolization Deterrence Act", rapporterade Reuters . Denna lagstiftning skulle ge Justitiedepartementet och Federal Trade Commission möjligheten att ta ut...

Suggested posts

Apple stämmer över Corellium för att sälja åtkomst till molnbaserade "perfekta repliker" från iOS Apple stämmer över Corellium för att sälja åtkomst till molnbaserade "perfekta repliker" från iOS

Apple stämmer mot ett företag, Corellium LLC, som det säger att de olagligt säljer virtuella kopior av sitt iOS-operativsystem under förevändning av legitim säkerhetsforskning, rapporterade Bloomberg på torsdag. Corellium annonserar sig som "den första och enda plattformen som erbjuder iOS-, Android- och Linux-virtualisering på ARM." Per TechCrunch tillåter företaget användare att interagera med simulerade iOS-enheter som en iPhone eller...

Hacker anklagad för kapital en överträdelse hotade att "skjuta upp" Social Media Company, säger åklagare Hacker anklagad för kapital en överträdelse hotade att "skjuta upp" Social Media Company, säger åklagare

Personen som misstänks ha stått bakom det enorma dataöverträdet av Capital One som komprometterat uppgifterna till en uppskattad 106 000 miljoner människor har anklagats vid en domstolsansökan för att hota att "skjuta upp" ett Kalifornienbaserat socialt medieföretag och orsaka skada för sig själv och andra. Anklagelserna dyker upp i en ansökan till stöd för en begäran om fängelse av...

Las aerolíneas deberán "apagar y encender" este avión cada 149 horas por un problema de software Las aerolíneas deberán "apagar y encender" este avión cada 149 horas por un problema de software

Tener que reiniciar un ordenador que se ha ralentizado tras unos días de uso es un inconveniente menor para un dispositivo de $ 1000. Pero è qué hay de un avión comercial de más de 300 miljoner dollar? Las aerolíneas que no hayan actualizado el software de ciertos modelos de Airbus A350 tendren que apagar y encender completamente el...

Ontario kan snart kräva Anti-Vaxxer-föräldrar att delta i en Science Class Ontario kan snart kräva Anti-Vaxxer-föräldrar att delta i en Science Class

I en strävan att bekämpa den farliga trenden mot vaccin undvikande, vill den liberala regeringen i Ontario att föräldrar söker vaccin undantag för sina barn att delta i en obligatorisk utbildning session. Det är en bra idé, men att få anti-växxers att byta sina åsikter kommer troligen att kräva mer än så. Liberalerna i Ontario förfogar över ett ändringsförslag...

Svarande anklagade i det påstådda systemet till Hack SEC Filing System, Stjäl Finansiell Info Svarande anklagade i det påstådda systemet till Hack SEC Filing System, Stjäl Finansiell Info

Amerikanska myndigheter har belastat "en misstänkt ukrainsk datorhackare och flera handlare" med att försöka få in pengar på "marknadsrörande företagsresultatnyheter" som stulits från Securities and Exchange Commission-system, rapporterade Reuters på tisdagen . Det är 10 anklagade anklagade, varav två står inför straffavgifter, skrev Reuters. Händelsen ifråga gäller ett 2016 brott mot SECs databas för datainsamling, analys och återhämtning (EDGAR),...

Florida City brinner IT-anställd efter att ha betalat $ 460 000 Bitcoin Ransom till hackare Florida City brinner IT-anställd efter att ha betalat $ 460 000 Bitcoin Ransom till hackare

Lake City, Florida betalade ut en bitcoin lösenpris värd $ 460.000 till hackare som inaktiverade stadens datorsystem med sofistikerade ransomware förra månaden, hett på hälarna på en $ 600,000 lösenbelopp utbetalas under liknande omständigheter av Riviera Beach, Florida bara några veckor senare. Nu, som flaggats från lokala media rapporter av ZDnet på måndagen , har staden avfyrt sin informationsdirektör....

7-Eleven's Bad App Design Låt brottslingar stjäla mer än $ 500.000 7-Eleven's Bad App Design Låt brottslingar stjäla mer än $ 500.000

Hundratals 7-elva kunder som laddade ner en ny mobilbetalningsapp i Japan rånades ut av hundratusentals dollar på grund av några häpnadsväckande idiotiska säkerhetsförluster i appen. Yahoo Japan rapporterar att 7-Eleven Japan släppte 7pay-appen den 1 juli, och inom en dag började kunder klaga på misstänkta avgifter på deras länkade betalkort. Den 3 juli bekräftade företaget konton av tredje parter...

18 tricks för att göra dig till en Microsoft Word Master 18 tricks för att göra dig till en Microsoft Word Master

Microsoft Word är en älskad applikation som används av skrivare över hela världen. Programmet är fyllt med alla sorters funktioner, varav många du kanske aldrig stöter på när du skriver in en rapport, en kort berättelse, en uppsats eller något annat du kanske arbetar med. För att hjälpa dig att avslöja några av de mindre kända trick som mjukvaran...

Denna $ 300 Palm-sized Bug Strålar Trådlöst Krypteringsnycklar Denna $ 300 Palm-sized Bug Strålar Trådlöst Krypteringsnycklar

Den här självständiga snooping-enheten kan stjäla data från bärbara datorer inom 19 inches av det, och sniffar ut information baserat på radiovågor som läcker från processorer till följd av deras variationer i strömförbrukningen. Och som designarna påpekar är den tillräckligt liten för att passa inuti en pita. Utvecklad av forskare från Tel Aviv University och Israels Technion forskningsinstitut, är...

11 science fiction böcker som regelbundet lärs i högskolor 11 science fiction böcker som regelbundet lärs i högskolor

Vi lär oss alla mycket av att läsa science fiction-böcker - inte bara de coola idéerna, utan också de fascinerande tankexperimenten. Men universitetsprofessorer når ofta för klassisk science fiction när de planerar klasser om litteratur, samhälle eller filosofi. Här är 11 science fiction-böcker som ofta lärs på college. 1) Tjänstemanens tal En dystopisk feministisk roman av den kanadensiska författaren...

Language