本文作者:万艾可

这个青少年黑客在学校软件中发现了暴露数百万条记录的漏洞

万艾可 10个月前 ( 08-12 ) 193 抢沙发
这个青少年黑客在学校软件中发现了暴露数百万条记录的漏洞摘要: 有些孩子放学后在乐队里玩。Bill Demirkapi攻击了两个教育软件巨头。...


几年前,Bill Demirkapi开始探索他的学校和无数其的软件。他发现这些做的并不漂亮。


几十年前,典型的黑客是一个无聊的少年闯入他的学校网络改变成绩,费里斯布勒。因此,今天,当网络安全成为国家赞助的间谍机构和价值数十亿美元的公司的领域时,知道高中黑客的存在可能令人耳目一新 - 学校软件中的明显漏洞也是如此。


今天在拉斯维加斯举行的Defcon黑客大会上,18岁的Bill Demirkapi介绍了他在高中新生时开始的三年课后黑客攻击的结果。Demirkapi围绕着两个常见软件的网络界面,由科技公司Blackboard和Follett出售,并由他自己的学校使用。在这两种情况下,他都发现了严重的漏洞,这些漏洞可以让黑客获得对学生数据的深入访问。特别是在Blackboard的案例中,Demirkapi为学生和教师发现了500万条易受伤害的记录,包括学生成绩,免疫记录,自助餐厅余额,时间表,加密密码和照片。

Demirkapi指出,如果他是一个无聊的16岁男孩,只是出于自己的好奇心,可以很容易地访问这些公司数据库,那么他的故事并没有很好地反映出拥有数百万学生个人的公司的更广泛的安全性。信息。“我所拥有的访问权限几乎就是学校所拥有的,”Demirkapi说。“教育软件中的网络安全状况非常糟糕,没有足够的人关注它。”

5,000所学校,500万条记录

Demirkapi在Blackboard的社区参与软件和Follett的学生信息系统中发现了一系列常见的网络漏洞,包括所谓的SQL注入和跨站点脚本漏洞。对于Blackboard,这些错误最终允许访问包含24类数据的数据库,从电话号码到纪律记录,公交路线和出勤记录 - 尽管不是每个学校似乎都在每个领域都存储数据。例如,只有34,000条记录包括免疫史。数据中似乎包括5,000多所学校,总共有大约500万条个人记录,包括学生,教师和其他工作人员。


在Follett的软件中,Demirkapi说他发现了一些错误,这些错误会让黑客访问学生数据,如平均成绩,特殊教育状态,暂停数量和密码。与Blackboard的软件不同,这些密码以完全可读的形式以未加密的形式存储。然而,当Demirkapi获得Follett软件的访问权限时,他已经进行了两年的黑客攻击,并且稍微了解了诸如计算机欺诈和滥用法案之类的法律危险,该法案禁止未经授权访问公司的网络。因此,虽然他说他检查了自己和给他许可的朋友的数据,以验证错误导致访问,他没有进一步探索或列举易受攻击记录的总数,就像他与Blackboard一样。“

当WIRED接触Blackboard和Follett时,Follett的技术高级副总裁George Gatsis表示感谢Demirkapi帮助该公司识别其错误,他说这些错误已于2018年7月修复。“我们很高兴与Bill合作并感激不尽他愿意和我们一起努力解决这些问题,“加蒂斯说。但Gatsis还声称即使有他利用的安全漏洞,Demirkapi也无法访问Follett数据,而不是他自己的数据。Demirkapi反驳说他“100%可以访问其他人的数据”,并说他甚至向Follett的工程师展示了让他访问他信息的朋友的密码。

Blackboard还感谢Demirkapi,但认为根据其分析,没有其他人通过他暴露的漏洞访问这些记录。“我们赞扬Bill Demirkapi将这些漏洞引起我们的注意,并努力成为改善我们产品安全性和保护客户个人信息的解决方案的一部分,”Blackboard发言人发表声明说。“我们已经解决了Demirkapi先生引起我们注意的几个问题,并没有迹象表明这些漏洞被剥削,或者Demirkapi先生或任何其他未经授权的一方访问了任何客户的个人信息。

先进的持久青少年

Demirkapi表示,他开始挖掘这两家公司的安全漏洞,结合了青少年的无聊和对网络安全和网络黑客的更多了解。Demirkapi说:“我有一种激情,我想,这会让事情破裂。” “我真的想学习网络应用程序测试,所以我想,在我自己的学校的评分系统上测试会有多酷?”

Demirkapi指出,与Ferris Bueller不同,他从未真正试图改变学生的成绩。这将需要更深层次的访问Blackboard的网络。他在一次单独的事件中利用大学录取软件中的漏洞将他的录取状态改为在他申请的大学伍斯特理工学院数据库中“接受”。该学院的一位发言人表示,仅仅改变就不足以让他承认。

在Demirkapi开始发现Blackboard和Follett软件中的漏洞之后,他说他努力让这些公司认真对待他。在2016年的冬天,他最初试图联系Follett,要求他的学校技术总监代表他联系公司。但正如Demirkapi记得的那样,她告诉他该公司已经驳回了他的担忧。他说他后来通过电子邮件和Follette的联系页面向Blackboard和Follett发送了消息。Blackboard最初感谢他的笔记,并表示会调查,但没有跟进。福莱特完全不理他。

几个月后,Demirkapi为一名少年黑客采取了更为典型的方法。在Follett的错误中,他发现可以在他学校的帐户中添加一个“群组资源”,这个文件可供所有用户使用,更重要的是Demirkapi,可以触发推送通知,并将资源名称发送给他所在学校的每个人谁安装了Follett的Aspen应用程序。Demirkapi向成千上万的家长,老师和学生发送了一条消息“Bill Demirkapi:Hello”。

那场特技让他在学校停学两天。“我这样做真的不成熟,但我不知道有什么其他办法可以与一家不接触的公司取得联系,”Demirkapi说。

在2018年的过程中,在Demirkapi获得学区技术总监和卡内基梅隆大学CERT协调中心的帮助后,他说公司终于开始倾听。有了Blackboard,他在测试软件安全性的过程中访问了他的敏感数据,他制定了一份合同,声明该公司不会起诉他,作为回报,他将保持公司的漏洞秘密,直到他们被修复后拒绝初步草案,其中Blackboard试图阻止他甚至在补丁通过后告诉任何人。

即使现在两家公司都修复了Demirkapi发现的软件缺陷,他说他的工作应该让任何关心学生数据安全的人感到担心。“从安全领域来看似乎没有任何兴趣,因为激励措施不是很高,”他说,并指出Blackboard和Follett都没有奖励赏金计划来奖励那些找到和找到的安全研究人员。他们的弱点。“这些公司表示他们是安全的,他们进行审计,但没有采取必要措施来保护自己免受威胁。”


你在刷视频,他在读文章,人生嘛!仅此而已。


道不同,不相为谋,,,

文章版权及转载声明

作者:万艾可本文地址:http://www.si124.com/baodian/2019/08/936.html发布于 10个月前 ( 08-12 )
文章转载或复制请以超链接形式并注明出处【三更网络资源】

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

分享

发表评论

快捷回复:

评论列表 (暂无评论,193人围观)参与讨论

还没有评论,来说两句吧...