Student van school gestuurd na ontdekken beveiligingsprobleem
Een 20-jarige student computerwetenschappen uit Canada is van school gestuurd nadat hij een beveiligingsprobleem had ontdekt in een computersysteem van zijn hogeschool. De kwetsbaarheid maakte het voor kwaadwillenden mogelijk om privégegevens te ontfutselen.
De student, Ahmed Al-Khabaz, zegt volgens de National Post geen kwaad in de zin te hebben gehad. Hij stuitte op het beveiligingsprobleem toen hij een app aan het ontwikkelen was die studenten eenvoudiger toegang moest bieden tot hun account in het computersysteem dat onder meer door zijn hogeschool, Dawson College, werd gebruikt. Het computersysteem, Omnivox, is volgens hem slecht geprogrammeerd en biedt kwaadwillenden zonder al te veel technische kennis toegang tot privégegevens van studenten, waaronder naw-gegevens en burgerservicenummer. Het systeem wordt gebruikt op veel hogescholen in de Canadese provincie Quebec.
Toen de student in oktober de problemen samen met een medestudent aankaartte bij de schoolleiding, werd hij aanvankelijk gefeliciteerd met het vinden van het lek. Toen Al-Khabaz een paar dagen later echter de penetratietestingtool Acunetix gebruikte om te kijken of de webapplicatie nog steeds kwetsbaar was, werd hij onmiddelijk gebeld door de ceo van het bedrijf dat Omnivox ontwikkelde. Die dreigde volgens Al-Khabaz de politie te bellen, tenzij de student een geheimhoudingsverklaring zou ondertekenen. Dat deed hij.
De ceo van het bedrijf, Edouard Taza, zegt dat Al-Khabaz beter had moeten weten, maar rekent het hem niet te zwaar aan: "Het is duidelijk dat er geen kwade bedoelingen in het spel waren. Hij maakte simpelweg een vergissing", zegt hij tegen de National Post. De schoolleiding van Dawson College was het daar niet mee eens. Van de vijftien docenten van het departement computerwetenschappen stemden er veertien mee in om Al-Khabaz van school te sturen, vanwege het gebruik van de penetratietestingtool.
Al-Khabaz klaagt dat hij nooit een kans heeft gehad om zijn acties toe te lichten; hij heeft het gevoel dat de hogeschool vooral probeerde om de zaak in de doofpot te stoppen. Omdat hij van school is gestuurd, is hij niet in staat om naar een andere hogeschool te gaan. "Mijn academische carrière is compleet verwoest", aldus de student volgens de National Post. De studentenvakbond van de hogeschool is het met Al-Khabaz eens. De hogeschool was volgens de National Post niet bereikbaar voor commentaar.
Reacties (130)
"Toen Al-Khabaz een paar dagen later echter de penetratietestingtool Acunetix gebruikte om te kijken of de webapplicatie nog steeds kwetsbaar was, werd hij onmiddelijk gebeld door de ceo van het bedrijf dat Omnivox ontwikkelde."
Als hij dat niet had gedaan was er niks aan de hand geweest. Maargoed vind het sneu voor die student.
Hoe kan dat zo snel getraceerd worden plus het nummer achterhaald worden?
en waarom de CEO? tis niet alsof die iets beters te doen heeft. Lijkt een beetje opgezet...
Hoe zou dat bedrijf nu ooit van te voren kunnen bedenken dat die jongen na een paar dagen een penetratietesting tool gaat draaien?
Zoiets kun je niet opzetten.
Lijkt je dat vreemd?
lekker disproportioneel.
en de mensen die het lek hadden moeten fixen maar dat niet deden? die veroorzaakten pas potentiele schade. maar daar hoor je niets over.
*kuch*KROM als een hoepel!
Ik snap wel dat je als 20 jarige nerd nog niet zo goed helder hebt wat er geaccepteert is en niet in de grote wereld. En dat is ook een taak van een school om studenten dat bij te brengen.
Best mogelijk, maar waarom heeft de school dat dan niet tegen ze gezegd? Door te zwijgen bevestigen ze alleen maar de versie van de student.ik heb het gevoel dat er meer aan de hand is dat de student heeft verzwegen tegen de originele artikel schrijvers...
Niet bereikbaar voor commentaar betekent meestal: We moeten ons antwoord nog netjes en nauwkeurig formuleren.
Ze bevestigen dus helemaal niets.
Dat hadden ze dan gewoon moeten zeggen. Iets in de trand van "In het belang van het onderzoek kunnen wij nog geen commentaar geven maar zodra we meer informatie hebben komen we bij jullie terug". Door de deuren te sluiten geven ze de indruk dat ze iets te verbergen hebben of zelf beseffen onredelijk te hebben gehandeld.Niet bereikbaar voor commentaar betekent meestal: We moeten ons antwoord nog netjes en nauwkeurig formuleren.
Formeel niet natuurlijk, maar in grote delen van de publieke opinie wel.Ze bevestigen dus helemaal niets.
Een lek vinden, melden...
Vervolgens verplicht een geheimhoudingsverklaring tekenen (is die wel geldig gezien zijn leeftijd???)
Maar alle gekheid op een stokje:
- melden (goed gedaan naar mijn idee)
- geheimhouding tekenen (dicutabel)
- testen na een paar dagen, waarschijnlijk zonder melding vooraf (zeer discutabel tot fout, hoe kan een bedrijf in een paar dagen, na een melding op iedere school een patch uitrollen die getest is tegen misbruik en mogelijke gaten die gecreërd worden met de patch...)
Kortom goed begonnen maar een beetje afgedwaald van het nette pad...
Al vind ik het als docenten wel slecht om hem van school af te trappen, een vriendelijk verzoek om ergens anders heen te gaan had ook gekund, desnoods met wat drang...
Maar als de patch nog geschreven moest worden, dan red je dat niet als je ook nog eens netjes wil testen.
(voor duidelijkheid, ik werk o.a. op VO school)[Reactie gewijzigd door jopiek op maandag 21 januari 2013 10:15]
Ik hoor het steeds vaker dat de één het werk doet en een ander met de boel vandoor gaat en er beter van wordt.
@Bigilia...dat was ook mijn gedachte ja....maar zijn we dan niet net zo racistisch als we zo denken?
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Microsoft Sony Games Politiek en recht Galaxy S
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
