Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 130, views: 50.475 •

Een 20-jarige student computerwetenschappen uit Canada is van school gestuurd nadat hij een beveiligingsprobleem had ontdekt in een computersysteem van zijn hogeschool. De kwetsbaarheid maakte het voor kwaadwillenden mogelijk om privégegevens te ontfutselen.

De student, Ahmed Al-Khabaz, zegt volgens de National Post geen kwaad in de zin te hebben gehad. Hij stuitte op het beveiligingsprobleem toen hij een app aan het ontwikkelen was die studenten eenvoudiger toegang moest bieden tot hun account in het computersysteem dat onder meer door zijn hogeschool, Dawson College, werd gebruikt. Het computersysteem, Omnivox, is volgens hem slecht geprogrammeerd en biedt kwaadwillenden zonder al te veel technische kennis toegang tot privégegevens van studenten, waaronder naw-gegevens en burgerservicenummer. Het systeem wordt gebruikt op veel hogescholen in de Canadese provincie Quebec.

Toen de student in oktober de problemen samen met een medestudent aankaartte bij de schoolleiding, werd hij aanvankelijk gefeliciteerd met het vinden van het lek. Toen Al-Khabaz een paar dagen later echter de penetratietestingtool Acunetix gebruikte om te kijken of de webapplicatie nog steeds kwetsbaar was, werd hij onmiddelijk gebeld door de ceo van het bedrijf dat Omnivox ontwikkelde. Die dreigde volgens Al-Khabaz de politie te bellen, tenzij de student een geheimhoudingsverklaring zou ondertekenen. Dat deed hij.

De ceo van het bedrijf, Edouard Taza, zegt dat Al-Khabaz beter had moeten weten, maar rekent het hem niet te zwaar aan: "Het is duidelijk dat er geen kwade bedoelingen in het spel waren. Hij maakte simpelweg een vergissing", zegt hij tegen de National Post. De schoolleiding van Dawson College was het daar niet mee eens. Van de vijftien docenten van het departement computerwetenschappen stemden er veertien mee in om Al-Khabaz van school te sturen, vanwege het gebruik van de penetratietestingtool.

Al-Khabaz klaagt dat hij nooit een kans heeft gehad om zijn acties toe te lichten; hij heeft het gevoel dat de hogeschool vooral probeerde om de zaak in de doofpot te stoppen. Omdat hij van school is gestuurd, is hij niet in staat om naar een andere hogeschool te gaan. "Mijn academische carrière is compleet verwoest", aldus de student volgens de National Post. De studentenvakbond van de hogeschool is het met Al-Khabaz eens. De hogeschool was volgens de National Post niet bereikbaar voor commentaar.

Reacties (130)

Reactiefilter:-11300123+190+212+30
1 2 3 ... 7
Dit gaat wel erg ver. Wanneer je een tool voor goede doelen gebruikt mag dit geen aanleiding zijn voor het wegsturen van iemand. Zover ik weet is het niet eens illegaal. Die CEO van dat bedrijf gaat ook echt te ver hierin: slecht geprogrammeerd is slecht geprogrammeerd. Ik vind het een enorme misser van de school.
Knap staaltje koppigheid zeg.. Mag toch hopen voor die jongen dat dit rechtgezet gaat worden
Het probleem is zolang dit soort acties zo worden behandeld. (gestraft in plaats van beloond) Kan je toch zo een bedrijf niet serieus nemen? Allemaal leuk en aardig dat die CEO zegt dat hij een fout heeft gemaakt, en dat er geen kwade bedoelingen waren.

Dus in plaats van die jongen een dank je taart en bloemen te sturen wilde hij een getekende geheimhouding en een dreiging. Mooie bal.

Voordat hij dat contract getekend had, even opzoeken wie de top 5 klanten zijn van Omnivox, daar even een paar mailtjes heen met de stand van zaken van hun duur betaalde software, kom nou.
Discutabel zou ik zeggen. Wellicht had hij moeten stoppen nadat hij erachter was gekomen dat het systeem een lek / lekken bevat. Doordat hij vervolgens een stap verder ging door een penetratietool te gebruiken wekt hij natuurlijk wel de indruk 'het verder te willen uitbuiten'. Helemaal bij leraren die er weinig verstand van hebben.

Aangezien hij wel het bedrijf en de studentenvakbond achter zich heeft geef ik hem wel een goede kans dat hij met het in beroep gaan succesvol kan zijn.
Soms moet je leren zwijgen over bepaalde dingen als je weet dat het je in moeilijkheden kan brengen. Het zou zo niet mogen zijn, maar al snel zal je dat in het leven ondervinden.
Hmmm, beetje apart. Waarom niet aan het personeel vragen hoe het is met de status van het lek. Snap de sanctie wel voor het gebruik van de tool. En de overige leraren zien het waarschijnlijk niet in context maar puur als een aanval.
Ik krijg de laatste tijd het idee dat Canada nog verder gaat met eenboel dingen als America. Jammer, het was ooit een mooi land
Hopen dat het goed komt, want dit is wel een crap reden :+
Ben je als student oplettend, en wil je een beveiligingslek melden, wordt je zo behandeld. Daar zou je als school of bedrijf allang blij mee moeten zijn dat dit aan het licht komt. Zou me niks verbazen als hier in Nederland hetzelfde wordt omgegaan met zoiets dergelijks.

Ik hoop voor die jongen dat hij een kans krijgt het toe te lichten en alsnog verder kan. Dan maar met een rechtzaak!
Idd, een rechtzaak aanspannen.
Hopelijk pleegt die jongen via TOR nog even een ontraceerbare hack, en richt hij een enorme ravage aan in dat baggersysteem van die ondankbare school :{
Zelfs al is het beroep succesvol, met 14 van de 15 docenten tegen hem zal hij nooit zijn diploma halen.
Vind het jammer dat hij van school gestuurd is, maar:

"Toen Al-Khabaz een paar dagen later echter de penetratietestingtool Acunetix gebruikte om te kijken of de webapplicatie nog steeds kwetsbaar was, werd hij onmiddelijk gebeld door de ceo van het bedrijf dat Omnivox ontwikkelde."

Als hij dat niet had gedaan was er niks aan de hand geweest. Maargoed vind het sneu voor die student.
Nu zou ik wel willen weten hoe de school gaat reageren. Er zijn altijd meerdere kanten aan een verhaal.
Het gaat om een instelling die computerwetenschappen geeft. Daarbij zou je verwachten dat die wel een context kunnen zien.

Het is wel jammer dat de instelling geen commentaar wil geven want dit blijft nu een eenzijdig nieuwsbericht. Wie weet wat die student met die penetratietool heeft uitgespookt.
Ehm... liever wachten tot de een of andere pseudo-terrorist het lek vind, de gegevens binnenhaalt en doorverkoopt, en dan de site plat legt? En vervolgens de een of andere tekst in de trend van "je zult eeuwig branden" neerzetten of zo?

Juist dat de jongen aan de bel heeft getrokken is een goed teken, ik hoop ook dat iedere potentiële klokkenluider voor beveiligingslekken in het vervolg als waardevol wordt betiteld. Deze fratsen vind ik schraal en lelijk van de school. Carrière naar de maan door aan de bel te trekken.

Laat ze liever gezamelijk energie steken in een gezamelijke oplossing:
- Hoe kon de student bij de gegevens? Met welke progs / methode?
- Wat kan de software leverancier er aan doen om het te dichten?
ALs ik het goed lees betekend het wanneer je in Canada van school gestuurd wordt dat je ook niet naar een andere school kan. Hierdoor kan hij dus niks. Wanneer dit ingetrokken wordt kan hij anar een andere school en daar zijn studie afronden.

Natuurlijk is er eigenlijk maar één oplossing goed als docenten inderdaad tegen hem zijn en hij in het gelijk gesteld wordt. De 14 docenten van school sturen.
Omdat ie het aangekaart had, had ie kunnen bedenken dat het systeem beter gemonitord werd. En om problemen te voorkomen, de test samen met een docent, of een aantal medestudenten uit te voeren. Of eerst eens te vragen...
Ik snap wel dat je als 20 jarige nerd nog niet zo goed helder hebt wat er geaccepteert is en niet in de grote wereld. En dat is ook een taak van een school om studenten dat bij te brengen.
Ben het eens met Sleepybag.. Ik hoor nu alleen de kant van die 'arme' student. Maar wie weet, wat hij heeft uitgevoerd bij het 'testen' van de hack. Ik kan me moeilijk voorstellen, dat men zonder pardon de student zomaar van school stuurt.
De indruk om het verder uit te willen buiten kan je alleen opwekken als mensen echt nul procent verstand gebruiken. Als de gebruiker de beveiligingslek zelf meld, is het al duidelijk genoeg dat er geen idee tot misbruik achter zit. Als je dan vervolgens gefeliciteerd wordt met het melden van het lek word je ook enkel aangemoedigd dat je iets goeds hebt gedaan en gemotiveerd om wellicht nog verder te helpen.
1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Vliegtuig Luchtvaart Crash Smartphones Laptops Games Apple Besturingssystemen Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013