Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 130, views: 50.515 •

Een 20-jarige student computerwetenschappen uit Canada is van school gestuurd nadat hij een beveiligingsprobleem had ontdekt in een computersysteem van zijn hogeschool. De kwetsbaarheid maakte het voor kwaadwillenden mogelijk om privégegevens te ontfutselen.

De student, Ahmed Al-Khabaz, zegt volgens de National Post geen kwaad in de zin te hebben gehad. Hij stuitte op het beveiligingsprobleem toen hij een app aan het ontwikkelen was die studenten eenvoudiger toegang moest bieden tot hun account in het computersysteem dat onder meer door zijn hogeschool, Dawson College, werd gebruikt. Het computersysteem, Omnivox, is volgens hem slecht geprogrammeerd en biedt kwaadwillenden zonder al te veel technische kennis toegang tot privégegevens van studenten, waaronder naw-gegevens en burgerservicenummer. Het systeem wordt gebruikt op veel hogescholen in de Canadese provincie Quebec.

Toen de student in oktober de problemen samen met een medestudent aankaartte bij de schoolleiding, werd hij aanvankelijk gefeliciteerd met het vinden van het lek. Toen Al-Khabaz een paar dagen later echter de penetratietestingtool Acunetix gebruikte om te kijken of de webapplicatie nog steeds kwetsbaar was, werd hij onmiddelijk gebeld door de ceo van het bedrijf dat Omnivox ontwikkelde. Die dreigde volgens Al-Khabaz de politie te bellen, tenzij de student een geheimhoudingsverklaring zou ondertekenen. Dat deed hij.

De ceo van het bedrijf, Edouard Taza, zegt dat Al-Khabaz beter had moeten weten, maar rekent het hem niet te zwaar aan: "Het is duidelijk dat er geen kwade bedoelingen in het spel waren. Hij maakte simpelweg een vergissing", zegt hij tegen de National Post. De schoolleiding van Dawson College was het daar niet mee eens. Van de vijftien docenten van het departement computerwetenschappen stemden er veertien mee in om Al-Khabaz van school te sturen, vanwege het gebruik van de penetratietestingtool.

Al-Khabaz klaagt dat hij nooit een kans heeft gehad om zijn acties toe te lichten; hij heeft het gevoel dat de hogeschool vooral probeerde om de zaak in de doofpot te stoppen. Omdat hij van school is gestuurd, is hij niet in staat om naar een andere hogeschool te gaan. "Mijn academische carrière is compleet verwoest", aldus de student volgens de National Post. De studentenvakbond van de hogeschool is het met Al-Khabaz eens. De hogeschool was volgens de National Post niet bereikbaar voor commentaar.

Reacties (130)

Reactiefilter:-11300123+190+212+30
Vind het jammer dat hij van school gestuurd is, maar:

"Toen Al-Khabaz een paar dagen later echter de penetratietestingtool Acunetix gebruikte om te kijken of de webapplicatie nog steeds kwetsbaar was, werd hij onmiddelijk gebeld door de ceo van het bedrijf dat Omnivox ontwikkelde."

Als hij dat niet had gedaan was er niks aan de hand geweest. Maargoed vind het sneu voor die student.
is het niet vreemd dat hij direct gebeld wordt door de CEO?
Hoe kan dat zo snel getraceerd worden plus het nummer achterhaald worden?
en waarom de CEO? tis niet alsof die iets beters te doen heeft. Lijkt een beetje opgezet...
Denk eens even na voor je wat roept!

Hoe zou dat bedrijf nu ooit van te voren kunnen bedenken dat die jongen na een paar dagen een penetratietesting tool gaat draaien?

Zoiets kun je niet opzetten.
penetratietools detecteren is inderdaad opzet.
Lijkt je dat vreemd?
..dus is zijn carriere prematuur verwoest, ondanks dat hij geen schade veroorzaakte.

lekker disproportioneel.

en de mensen die het lek hadden moeten fixen maar dat niet deden? die veroorzaakten pas potentiele schade. maar daar hoor je niets over.

*kuch*KROM als een hoepel!
Nu zou ik wel willen weten hoe de school gaat reageren. Er zijn altijd meerdere kanten aan een verhaal.
Omdat ie het aangekaart had, had ie kunnen bedenken dat het systeem beter gemonitord werd. En om problemen te voorkomen, de test samen met een docent, of een aantal medestudenten uit te voeren. Of eerst eens te vragen...
Ik snap wel dat je als 20 jarige nerd nog niet zo goed helder hebt wat er geaccepteert is en niet in de grote wereld. En dat is ook een taak van een school om studenten dat bij te brengen.
Ben het eens met Sleepybag.. Ik hoor nu alleen de kant van die 'arme' student. Maar wie weet, wat hij heeft uitgevoerd bij het 'testen' van de hack. Ik kan me moeilijk voorstellen, dat men zonder pardon de student zomaar van school stuurt.
tja, ik vraag me af wat er allemaal waar is van dit artikel, er zal zeker een kern van waarheid in zitten, maar het zou mij niet verbazen als de student toch nog iets meer heeft gedaan dan alleen de tool gebruikt om het lek te testen (wat overigens niet nodig zou zijn geweest aangezien hij het lek ook zonder die tool heeft gevonden, dus waarom uberhaupt dan alsnog die tool gebruiken).. Wij horen het verhaal nu maar van 1 kant, persoonlijk kan ik me namelijk niet indenken dat 14 van 15 it-leraren zouden instemmen met van school sturen puur voor het 1malig gebruik van die tool (zeker nadat de student het dus netjes al lek al had gerapporteerd), ik heb het gevoel dat er meer aan de hand is dat de student heeft verzwegen tegen de originele artikel schrijvers...
ik heb het gevoel dat er meer aan de hand is dat de student heeft verzwegen tegen de originele artikel schrijvers...
Best mogelijk, maar waarom heeft de school dat dan niet tegen ze gezegd? Door te zwijgen bevestigen ze alleen maar de versie van de student.
In een situatie waar rechtzaken uit kunnen komen moet je heel voorzichting zijn met uitlatingen naar de pers.

Niet bereikbaar voor commentaar betekent meestal: We moeten ons antwoord nog netjes en nauwkeurig formuleren.

Ze bevestigen dus helemaal niets.
Niet bereikbaar voor commentaar betekent meestal: We moeten ons antwoord nog netjes en nauwkeurig formuleren.
Dat hadden ze dan gewoon moeten zeggen. Iets in de trand van "In het belang van het onderzoek kunnen wij nog geen commentaar geven maar zodra we meer informatie hebben komen we bij jullie terug". Door de deuren te sluiten geven ze de indruk dat ze iets te verbergen hebben of zelf beseffen onredelijk te hebben gehandeld.
Ze bevestigen dus helemaal niets.
Formeel niet natuurlijk, maar in grote delen van de publieke opinie wel.
Was zijn naam Jan geweest dan was er moord en brand geschreeuwd hier. Velen hebben niet door hoe bevooroordeeld ze zijn.
Hmm. dit is zeer zeker een ontmoedingingsbeleid zonder grond...
Een lek vinden, melden...
Vervolgens verplicht een geheimhoudingsverklaring tekenen (is die wel geldig gezien zijn leeftijd???)

Maar alle gekheid op een stokje:

- melden (goed gedaan naar mijn idee)
- geheimhouding tekenen (dicutabel)
- testen na een paar dagen, waarschijnlijk zonder melding vooraf (zeer discutabel tot fout, hoe kan een bedrijf in een paar dagen, na een melding op iedere school een patch uitrollen die getest is tegen misbruik en mogelijke gaten die gecreërd worden met de patch...)

Kortom goed begonnen maar een beetje afgedwaald van het nette pad...
Al vind ik het als docenten wel slecht om hem van school af te trappen, een vriendelijk verzoek om ergens anders heen te gaan had ook gekund, desnoods met wat drang...
Een patch uitrollen binnen enkele dagen, afhankelijk van de prioriteit en ingewikkeldheid kan. Ik denk dat hij voelde dat deze zaak een zeer hoge prioriteit had, omdat het een persoonlijke kwestie is geworden. Zijn eigen naw gegevens staan ook onveilig in t systeem, maar hij had t mischien wel eerst kunnen melden voordat hij t controleerde...
Het is inderdaad vaak wel mogelijk en zo niet dan offline halen! Zie DigiD hun laatste probleempje, erg netjes (voorheen was dat ook anders) offline en gelukkig binnen een dag een patch beschikbaar en klaar. Men gaat wel iets harder werken als het systeem niet "gebruikt kan worden".
Als de patch al beschikbaar is, dan zal een school meestal met een paar dagen wel een uitrol kunnen doen.

Maar als de patch nog geschreven moest worden, dan red je dat niet als je ook nog eens netjes wil testen.
Of je doet verstandig: afspreken met de student dat hij van het lek blijft tot de patch is uitgerold en als dit is gebeurd dan pass je de student een 200 dollar om te pogen er weer in te komen. Maar de app zal wel zo lek zijn dat je er in no-time tientallen andere lekken uithaalt. Daarom zal die geheimhoudingsverklaring wel getekend moeten worden.
Sukkels, maar ja, zo gaat het, wij meldden problemen vroeger bij decentraal beheerders om zulke dingen te voorkomen, zij meldden het dan alsof ze het zelf ontdekt hadden (op de HTS was dat). Ik stimuleer mijn leerlingen lekken te vinden, maar ICT is er niet blij mee vaak... Om simpele dingen worden ze soms al van netwerk gegooid, maar ja, men heeft ook geen ICT beleid dus ja ze staan juridisch zwak en leerlingen hebben docenten op hun hand :) (voor duidelijkheid, ik werk o.a. op VO school)

[Reactie gewijzigd door jopiek op 21 januari 2013 10:15]

Altijd het zelfde met zulke figuren, de eer van een ander opstrijken, en liefst nog een bonus krijgen. Ik snap niet hoe ze met zichzelf kunnen leven.

Ik hoor het steeds vaker dat de één het werk doet en een ander met de boel vandoor gaat en er beter van wordt. :r
In welke mate zou meegespeeld hebben dat de student Ahmed Al-Khabaz heet?
Naar wat ik zo nu en dan hoor over Canada, denk ik dat dat niet echt meespeelt.
als je zo wordt behandeld als je het netjes aankaart...kun je net zo goed toch wat gegevens jatten van de docenten en die op straat gooien...siert hem trouwens dat ie dat niet gedaan heeft...

@Bigilia...dat was ook mijn gedachte ja....maar zijn we dan niet net zo racistisch als we zo denken?
Is de site van de school nog niet plat gelegd door Anonymous? Het zou een typische actie zijn.

Op dit item kan niet meer gereageerd worden.



Populair: Tablets Smartphones Beheer en beveiliging Laptops Google Apple Sony Games Consoles Politiek en recht

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013