Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 130 reacties

Een 20-jarige student computerwetenschappen uit Canada is van school gestuurd nadat hij een beveiligingsprobleem had ontdekt in een computersysteem van zijn hogeschool. De kwetsbaarheid maakte het voor kwaadwillenden mogelijk om privégegevens te ontfutselen.

De student, Ahmed Al-Khabaz, zegt volgens de National Post geen kwaad in de zin te hebben gehad. Hij stuitte op het beveiligingsprobleem toen hij een app aan het ontwikkelen was die studenten eenvoudiger toegang moest bieden tot hun account in het computersysteem dat onder meer door zijn hogeschool, Dawson College, werd gebruikt. Het computersysteem, Omnivox, is volgens hem slecht geprogrammeerd en biedt kwaadwillenden zonder al te veel technische kennis toegang tot privégegevens van studenten, waaronder naw-gegevens en burgerservicenummer. Het systeem wordt gebruikt op veel hogescholen in de Canadese provincie Quebec.

Toen de student in oktober de problemen samen met een medestudent aankaartte bij de schoolleiding, werd hij aanvankelijk gefeliciteerd met het vinden van het lek. Toen Al-Khabaz een paar dagen later echter de penetratietestingtool Acunetix gebruikte om te kijken of de webapplicatie nog steeds kwetsbaar was, werd hij onmiddelijk gebeld door de ceo van het bedrijf dat Omnivox ontwikkelde. Die dreigde volgens Al-Khabaz de politie te bellen, tenzij de student een geheimhoudingsverklaring zou ondertekenen. Dat deed hij.

De ceo van het bedrijf, Edouard Taza, zegt dat Al-Khabaz beter had moeten weten, maar rekent het hem niet te zwaar aan: "Het is duidelijk dat er geen kwade bedoelingen in het spel waren. Hij maakte simpelweg een vergissing", zegt hij tegen de National Post. De schoolleiding van Dawson College was het daar niet mee eens. Van de vijftien docenten van het departement computerwetenschappen stemden er veertien mee in om Al-Khabaz van school te sturen, vanwege het gebruik van de penetratietestingtool.

Al-Khabaz klaagt dat hij nooit een kans heeft gehad om zijn acties toe te lichten; hij heeft het gevoel dat de hogeschool vooral probeerde om de zaak in de doofpot te stoppen. Omdat hij van school is gestuurd, is hij niet in staat om naar een andere hogeschool te gaan. "Mijn academische carrière is compleet verwoest", aldus de student volgens de National Post. De studentenvakbond van de hogeschool is het met Al-Khabaz eens. De hogeschool was volgens de National Post niet bereikbaar voor commentaar.

Reacties (130)

Reactiefilter:-11300123+190+212+30
Moderatie-faq Wijzig weergave
Ok wow.

1) Hij meldt een beveiligingsprobleem. Dat is toch juist goed?
2) Waarom moeten leraren stemmen om iemand van school te sturen?
3) De leerling is de KLANT, die betaalt en kun je niet zomaar ditchen. Hooguit op de vingers tikken. (of op de algemene voorwaarden wijzen)
4) Dreigen met politie of geheimhoudingsverklaring is al een reden om het niet te doen. Laat de politie maar komen, zou ik zeggen. Dreigen is fout, hoe je het ook wendt of keert.
5) Wat was die vergissing waar het artikel het over heeft? Aan de deur rammelen om te kijken of ie op slot zit is linksom of rechtsom geen misdrijf. De eerste keer niet, en de tweede keer ook niet.
Als je als prive persoon dit doet, dan ga je voor afpersing voor schut. Schandalig, degene die de fout maakt, in het programma, is de agressor. Sign of the times.
Dit gebeurt niet alleen op een school in Canada, ook bij bedrijven en overheden in ons eigen Nederland gebeurt dit vaker.
Goedkoper de "messenger" aan te klagen of te straffen dan het systeem opnieuw te programmeren.
naja ik vind de rol van de ceo hierin ook nogal vreemd..
waarom zou hij een student bellen en dreigen hem van school te sturen terwijl hij daar niet eens bevoegdheid toe heeft , hij heeft nix met de school te maken ,
en ook raar dat een aantal docenten instemmen met het wegsturen van een leerlong omdat die iets heeft gedaan wat juist beloond zou moeten worden.
denk dat de ceo daar ook wel iets mee te maken heeft.
Omdat ie het aangekaart had, had ie kunnen bedenken dat het systeem beter gemonitord werd. En om problemen te voorkomen, de test samen met een docent, of een aantal medestudenten uit te voeren. Of eerst eens te vragen...
Ik snap wel dat je als 20 jarige nerd nog niet zo goed helder hebt wat er geaccepteert is en niet in de grote wereld. En dat is ook een taak van een school om studenten dat bij te brengen.
Nu zou ik wel willen weten hoe de school gaat reageren. Er zijn altijd meerdere kanten aan een verhaal.
tja, ik vraag me af wat er allemaal waar is van dit artikel, er zal zeker een kern van waarheid in zitten, maar het zou mij niet verbazen als de student toch nog iets meer heeft gedaan dan alleen de tool gebruikt om het lek te testen (wat overigens niet nodig zou zijn geweest aangezien hij het lek ook zonder die tool heeft gevonden, dus waarom uberhaupt dan alsnog die tool gebruiken).. Wij horen het verhaal nu maar van 1 kant, persoonlijk kan ik me namelijk niet indenken dat 14 van 15 it-leraren zouden instemmen met van school sturen puur voor het 1malig gebruik van die tool (zeker nadat de student het dus netjes al lek al had gerapporteerd), ik heb het gevoel dat er meer aan de hand is dat de student heeft verzwegen tegen de originele artikel schrijvers...
Was zijn naam Jan geweest dan was er moord en brand geschreeuwd hier. Velen hebben niet door hoe bevooroordeeld ze zijn.
ik heb het gevoel dat er meer aan de hand is dat de student heeft verzwegen tegen de originele artikel schrijvers...
Best mogelijk, maar waarom heeft de school dat dan niet tegen ze gezegd? Door te zwijgen bevestigen ze alleen maar de versie van de student.
In een situatie waar rechtzaken uit kunnen komen moet je heel voorzichting zijn met uitlatingen naar de pers.

Niet bereikbaar voor commentaar betekent meestal: We moeten ons antwoord nog netjes en nauwkeurig formuleren.

Ze bevestigen dus helemaal niets.
Niet bereikbaar voor commentaar betekent meestal: We moeten ons antwoord nog netjes en nauwkeurig formuleren.
Dat hadden ze dan gewoon moeten zeggen. Iets in de trand van "In het belang van het onderzoek kunnen wij nog geen commentaar geven maar zodra we meer informatie hebben komen we bij jullie terug". Door de deuren te sluiten geven ze de indruk dat ze iets te verbergen hebben of zelf beseffen onredelijk te hebben gehandeld.
Ze bevestigen dus helemaal niets.
Formeel niet natuurlijk, maar in grote delen van de publieke opinie wel.
In welke mate zou meegespeeld hebben dat de student Ahmed Al-Khabaz heet?
Naar wat ik zo nu en dan hoor over Canada, denk ik dat dat niet echt meespeelt.
Sukkels, maar ja, zo gaat het, wij meldden problemen vroeger bij decentraal beheerders om zulke dingen te voorkomen, zij meldden het dan alsof ze het zelf ontdekt hadden (op de HTS was dat). Ik stimuleer mijn leerlingen lekken te vinden, maar ICT is er niet blij mee vaak... Om simpele dingen worden ze soms al van netwerk gegooid, maar ja, men heeft ook geen ICT beleid dus ja ze staan juridisch zwak en leerlingen hebben docenten op hun hand :) (voor duidelijkheid, ik werk o.a. op VO school)

[Reactie gewijzigd door jopiek op 21 januari 2013 10:15]

Altijd het zelfde met zulke figuren, de eer van een ander opstrijken, en liefst nog een bonus krijgen. Ik snap niet hoe ze met zichzelf kunnen leven.

Ik hoor het steeds vaker dat de één het werk doet en een ander met de boel vandoor gaat en er beter van wordt. :r
Ben je als student oplettend, en wil je een beveiligingslek melden, wordt je zo behandeld. Daar zou je als school of bedrijf allang blij mee moeten zijn dat dit aan het licht komt. Zou me niks verbazen als hier in Nederland hetzelfde wordt omgegaan met zoiets dergelijks.

Ik hoop voor die jongen dat hij een kans krijgt het toe te lichten en alsnog verder kan. Dan maar met een rechtzaak!
Daar hoef je niet teveel van te verwachten. Het is een feit dat dit soort fouten altijd mensen persoonlijk treft. Iemand bij het bedrijf (eigenaar of hoofd van progafdeling) iemand bij de school (hoofd ICT afdeling of verantwoordelijke voor ICT security). DIe fouten geeft men niet ruiterlijk toe maar men slaat keihard van zich af in de hoop dat het "aan iemand anders blijft plakken".

In nederland zijn de grote klokkenluiders ook door het slijk gegaan. Bos van Koop Tjuchem (bouwfraude) woont (of woonde) uiteindelijk in een caravan. Dan Fred Spijkers die sociaal werker van defensie die in 1984 weigerde te liegen over de dood van een soldaat door ondeugdelijke mijnen.

Mensen willen niet op fouten worden gewezen en als ze daarbij macht hebben dan is alles geoorloofd.

Op dit item kan niet meer gereageerd worden.



Microsoft Windows 10 Home NL Apple iPhone 6s Star Wars: Battlefront (2015) Samsung Galaxy S6 Edge Apple Watch Project CARS Nest Learning Thermostat Games

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True