Nieuws

School schorst student wegens beveiligingslek

maandag 21 januari 2013, 15:23 door Redactie, 8 reacties

In Canada is een informaticastudent van school gestuurd nadat hij een beveiligingslek had gerapporteerd waardoor de privégegevens van 250.000 studenten risico liepen. De 20-jarige Ahmed Al-Khabaz programmeerde een mobiele applicatie waarmee studenten eenvoudiger toegang tot hun schoolaccount konden krijgen, toen hij het lek ontdekte. Naar eigen zeggen was het lek door 'slordig programmeren' ontstaan.

De kwetsbaarheid bevond zich in de gebruikte Omnivox software. Volgens Al-Khabaz zou iedereen met basale kennis van computers toegang tot de persoonlijke informatie van studenten in het systeem kunnen krijgen. Het zou onder andere om verzekeringsnummers, adresgegevens, lesroosters en telefoonnummers gaan.

Melding
Tegenover de National Post laat de student weten dat hij het als morele plicht zag om de school over het probleem in te lichten en met het oplossen te helpen, iets wat hij ook deed. "Ik had eenvoudig mijn identiteit achter een proxy kunnen verbergen, maar ik deed dit niet, omdat ik niet dacht dat ik iets verkeerd deed."

In eerste instantie werd Al-Khabaz bedankt en kreeg de toezegging dat de school en Skytech, de makers van Omnivox, het probleem zouden oplossen. Twee dagen later wilde hij controleren of het probleem was opgelost en voerde een scan uit.

Een paar minuten later werd gebeld door Skytech. Die liet weten dat de student zich schuldig aan een "cyberaanval" maakte.Al-Khabaz vertelde dat hij degene was die het beveiligingsprobleem had ontdekt en gerapporteerd.

Dreigement
De president van Skytech liet echter weten dat de student voor zes tot twaalf maanden achter de tralies kon belanden. Vervolgens werd de student gedwongen een non-disclosure agreement te tekenen, anders zou Skytech de Canadese politie bellen. "Dus tekende ik de overeenkomst." Daardoor mocht hij geen informatie over het beveiligingsprobleem delen.

In een reactie tegenover de National Post erkent de president van Skytech dat hij de politie en juridische gevolgen had genoemd, maar worden dreigementen aan het adres van de student ontkend. Het zou om een misverstand gaan.

Skytech zegt blij te zijn met de ontdekking van de student, maar stelt dat hij niet had mogen kijken of het probleem ook was opgelost. Uiteindelijk besloot de school Al-Khabaz te schorsen.

Gezichtsverlies
De student moest op school verschijnen, waarbij vijftien professoren vervolgens mochten stemmen over het schorsen van Al-Khabaz. Veertien professoren waren voor de schorsing. Al-Khabaz zegt dat hij nooit zijn kant van het verhaal mocht vertellen. Ook een schooldirecteur zegt tegen de Canadese krant dat de school een briljante student heeft verraden om het management van Skytech te beschermen.

"Het is een travestie dat de academische toekomst van Ahmad is gecompromitteerd zodat Dawson College en Skytech geen gezichtsverlies leden. Als ze enig fatsoen zouden hebben, dan zouden ze Ahmad in ere instellen, de gemaakte schade vergoeden en in het openbaar excuses maken."

Meerdere DDoS-aanvallen van 50Gbps in 2012

Minister: bewijslast fraude internetbankieren ligt bij bank

Reacties (8)

21-01-2013, 15:50 door Anoniem

Zoo, de kosten om dit academisch netjes op te lossen zijn ondertussen opgelopen tot het ontslag van 14 "professionele" professoren. Je hoort er wat te leren, niet voor een leverancier geslachtofferd te worden. Maar een enkele student zijn toekomst "professioneel" verknallen is natuurlijk veel makkelijker & goedkoper.

Kijk, een gatenscanner zonder toestemming op andermans systeem inzetten is natuurlijk niet netjes. Maar er zijn genoeg omstandigheden te verzinnen waarom in dit geval een simpel "sorry" genoeg zou moeten zijn en dan toch dreigen met jaren achter tralies en NDAondertekeningen eisen een klein beetje buitenproportioneel zijn.

Maar dan de sgool. Unaniem een slechte leverancier beschermen en van studenten verwachten dat ze zich "professioneel" gedragen, iets wat de school ze zou moeten leren maar zelf kennelijk geen benul heeft wat dat inhoudt? Oh dear.

Ik kan er echt alleen maar subiet ontslag wegens incompetentie en vriendjesbegunstiging van maken. Van minstens veertien "professoren", ja. Dat, of blijven zitten met het stigma van totaal ongeschikte sgool.

21-01-2013, 16:06 door Patio

Een grof schandaal. Hulde aan die ene professor die als enige 'getuige-deskundige' tegen schorsing dorst te stemmen.

Waren er maar meer zoals haar of hem. Bravo voor deze heldendaad. I rest my case.

De veertien anderen zijn in- en intrieste lafaards, meelopers of strebers (wellicht behoren sommigen tot twee of drie van deze "kwalificaties")...

21-01-2013, 19:23 door Anoniem

Door Anoniem: Kijk, een gatenscanner zonder toestemming op andermans systeem inzetten is natuurlijk niet netjes.

Hij was met een mobile-app bezig om mede studenten makkelijker van les data te voorzien van wat ik ervan begrijp en is tijdens de ontwikkeling hiervan tegen dit probleem gestuit. Kan gebeuren, zeker als je met je project actief bezig bent met het aanspreken van hun servers/websites om data te crawlen. Hier is denk ik geen gatenscanner aan te pas gekomen.

Anyway, als er niet te veel data is geleeched en hij het meteen heeft gemeld is dit een inderdaad een schande. Als hij een week lang van alles en nog wat uit die database heeft gevist is het een ander verhaal.

En zijn argument 'ik had ook een proxy kunnen gebruiken' applied niet. Hij heeft waarschijnlijk het lek via zijn eigen connection ontdekt wat proxy gebruik na de discovery wel erg nutteloos maakt (voor een geruime tijd).

21-01-2013, 20:09 door Anoniem

Iemand die zegt een van de studenten uit die groep te kennen vertelt een andere versie van het verhaal waarbij de geschorste student en iemand met wie hij samenwerkte wat minder goedaardig overkomen:

http://news.slashdot.org/comments.pl?sid=3396631&cid=42646829

21-01-2013, 23:07 door Sokolum

Dat een briljante student zich zo wijs laat maken om een non-disclosure agreement te tekenen.

Als persoon, hoe briljant ben je dan....

21-01-2013, 23:24 door gogonal

briljant zijn heeft weinig te maken met eventuele gevoeligheid voor (juridische) druk.

Ik zou me ook zorgen gaan maken als ik in de VS juridisch onder druk wordt gezet. Voor je het weet heb je 50 jaar aan je broek hangen in dat knettergestoorde land.

22-01-2013, 13:40 door spatieman

Bedankt voor het melden.
hier zijn uw gevangenis kleren, gaat u maar lekker een jaartje zitten.
en het lek, ach, we ontkennen alles.

23-01-2013, 13:36 door Anoniem

Ik denk als je dit voor de rechtbank brengt dat de schorsing ongeldig kan worden verklaard. Wat nadien toelaat om een claim voor reputatie en eerroof in te stellen.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer