Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 130, views: 50.616 •

Een 20-jarige student computerwetenschappen uit Canada is van school gestuurd nadat hij een beveiligingsprobleem had ontdekt in een computersysteem van zijn hogeschool. De kwetsbaarheid maakte het voor kwaadwillenden mogelijk om privégegevens te ontfutselen.

De student, Ahmed Al-Khabaz, zegt volgens de National Post geen kwaad in de zin te hebben gehad. Hij stuitte op het beveiligingsprobleem toen hij een app aan het ontwikkelen was die studenten eenvoudiger toegang moest bieden tot hun account in het computersysteem dat onder meer door zijn hogeschool, Dawson College, werd gebruikt. Het computersysteem, Omnivox, is volgens hem slecht geprogrammeerd en biedt kwaadwillenden zonder al te veel technische kennis toegang tot privégegevens van studenten, waaronder naw-gegevens en burgerservicenummer. Het systeem wordt gebruikt op veel hogescholen in de Canadese provincie Quebec.

Toen de student in oktober de problemen samen met een medestudent aankaartte bij de schoolleiding, werd hij aanvankelijk gefeliciteerd met het vinden van het lek. Toen Al-Khabaz een paar dagen later echter de penetratietestingtool Acunetix gebruikte om te kijken of de webapplicatie nog steeds kwetsbaar was, werd hij onmiddelijk gebeld door de ceo van het bedrijf dat Omnivox ontwikkelde. Die dreigde volgens Al-Khabaz de politie te bellen, tenzij de student een geheimhoudingsverklaring zou ondertekenen. Dat deed hij.

De ceo van het bedrijf, Edouard Taza, zegt dat Al-Khabaz beter had moeten weten, maar rekent het hem niet te zwaar aan: "Het is duidelijk dat er geen kwade bedoelingen in het spel waren. Hij maakte simpelweg een vergissing", zegt hij tegen de National Post. De schoolleiding van Dawson College was het daar niet mee eens. Van de vijftien docenten van het departement computerwetenschappen stemden er veertien mee in om Al-Khabaz van school te sturen, vanwege het gebruik van de penetratietestingtool.

Al-Khabaz klaagt dat hij nooit een kans heeft gehad om zijn acties toe te lichten; hij heeft het gevoel dat de hogeschool vooral probeerde om de zaak in de doofpot te stoppen. Omdat hij van school is gestuurd, is hij niet in staat om naar een andere hogeschool te gaan. "Mijn academische carrière is compleet verwoest", aldus de student volgens de National Post. De studentenvakbond van de hogeschool is het met Al-Khabaz eens. De hogeschool was volgens de National Post niet bereikbaar voor commentaar.

Reacties (130)

Reactiefilter:-11300123+190+212+30
De ceo van het bedrijf, Edouard Taza, zegt dat Al-Khabaz beter had moeten weten, maar rekent het hem niet te zwaar aan: "Het is duidelijk dat er geen kwade bedoelingen in het spel waren. Hij maakte simpelweg een vergissing", zegt hij tegen de National Post.
Da's het verhaal van de CEO, maar Al-Khabaz zegt dat in het telefoongesprek het volgende werd gezegd:
He told me that I could go to jail for six to twelve months for what I had just done and if I didn’t agree to meet with him and sign a non-disclosure agreement he was going to call the RCMP and have me arrested. So I signed the agreement.
En dat klinkt me toch wel een stuk minder vriendelijk in de oren... De waarheid zal wel ergens in het midden liggen, maar gezien de belangen (CEO van bedrijf dat privacy-gevoelige software maakt met serieus beveiligingslek vs student die allemaal 10'en haalt) geloof ik toch eerder het verhaal van Al-Khabaz.
Eerst een hackerstool maken en daarna zeggen dat je er geen kwade bedoelingen mee had... om vervolgens de gebeten hond te spelen als je van de opleiding wordt getrapt.[/pun] ;)

Overigens niet echt netjes van die CEO om te dreigen met vervolgstappen om een NDA getekend te krijgen. Hij zou 'm beter kunnen belonen.
Hoe dan ook, alle betrokken partijen zijn verdacht en lijken me niet zuiver op de graad. En als je door 14 van de 15 docenten wordt "weggestemd" heb je ze waarschijnlijk wel vaker het leven zuur gemaakt }> Vind 't niet echt wereldnieuws...
Overigens niet echt netjes van die CEO om te dreigen met vervolgstappen om een NDA getekend te krijgen. Hij zou 'm beter kunnen belonen.
De CEO is wel terecht niet blij met deze figuur. Die was een app aan het maken dat functionaliteit bood van het systeem van het bedrijf van de CEO. Daarmee nam hij een commerciele mogelijkheid van het bedrijf weg. Dus dat die CEO pissed off was, is wel logisch. Dat iemand na een paar dagen meent te moeten gaan testen of het lek er nog is, is gewoon de hele oorzaak van het probleem, dat moet je niet doen.
De CEO is wel terecht niet blij met deze figuur. Die was een app aan het maken dat functionaliteit bood van het systeem van het bedrijf van de CEO. Daarmee nam hij een commerciele mogelijkheid van het bedrijf weg. Dus dat die CEO pissed off was, is wel logisch.
"Niet blij" en "pissed off" is wel van een heel ander niveau dan "dreigen te vervolgen". Het kan natuurlijk nooit de bedoeling zijn dat je onder dwang een NDA moet ondertekenen omdat anders een commercieel voordeel voor de ander wordt weggenomen. Dat komt op mij over als gebrek aan integriteit.
naja ik vind de rol van de ceo hierin ook nogal vreemd..
waarom zou hij een student bellen en dreigen hem van school te sturen terwijl hij daar niet eens bevoegdheid toe heeft , hij heeft nix met de school te maken ,
en ook raar dat een aantal docenten instemmen met het wegsturen van een leerlong omdat die iets heeft gedaan wat juist beloond zou moeten worden.
denk dat de ceo daar ook wel iets mee te maken heeft.
Dit gebeurt niet alleen op een school in Canada, ook bij bedrijven en overheden in ons eigen Nederland gebeurt dit vaker.
Goedkoper de "messenger" aan te klagen of te straffen dan het systeem opnieuw te programmeren.
Wel raar als je van een hoge school gestuurd wordt dat je dan meteen nergens meer terecht kan, heb je dan gelijk een strafblad ofzo...

Echt in die landen zoals Amerika en Canada nu dus ook ben je meteen de lul als je zogenaamd iets verkeerd doet. Net als dat je vorige werkgever een slechte referentie kan geven en dat je dan ook nergens meer aan het werk komt, wat geeft zulke mensen de macht om zo een leven van iemand te verpesten als ze onenigheid hebben gehad.

Echt absurd vind ik dat.
Voordat je van een hogeschool gestuurd wordt, moet er wel heel wat voorgevallen zijn. Ik kan me voorstellen dat het hoger onderwijs een database bijhoudt van ongewenste studenten, om te voorkomen dat studenten gewoon naar een andere onderwijsinstelling verhuizen en daar hetzelfde trucje gaan uithalen.

Dat betekent dan wel dat de beslissing om iemand van een hogeschool te sturen niet zomaar door de eerste de beste genomen zou moeten worden en dat er mogelijkheid tot beroep zou moeten bestaan.

Ik ben ook heel benieuwd naar de versie van de hogeschool, want het verhaal in het artikel klinkt inderdaad vrij extreem.
Wat mensen dat recht geeft is "vrijheid". Onder het mom van "vrijheid" moet je soms zonder vakantie, ook al heb je hier officiëel recht op, doorwerken. Doe je dat niet, dan loop je de kans dat de baas je vervangt door iemand die wel in de vakantie wil werken. Daar heeft de grote baas als enige de vrijheid, en de rest is slechts geïndoctrineerd en doet alles met dikke oogkleppen op. Al eens geprobeerd om dit soort dingen aan te kaarten, maar je bent meteen een of andere communist des duivels als je erover begint.

[Reactie gewijzigd door Amanoo op 21 januari 2013 15:58]

Als je als prive persoon dit doet, dan ga je voor afpersing voor schut. Schandalig, degene die de fout maakt, in het programma, is de agressor. Sign of the times.
Ok wow.

1) Hij meldt een beveiligingsprobleem. Dat is toch juist goed?
2) Waarom moeten leraren stemmen om iemand van school te sturen?
3) De leerling is de KLANT, die betaalt en kun je niet zomaar ditchen. Hooguit op de vingers tikken. (of op de algemene voorwaarden wijzen)
4) Dreigen met politie of geheimhoudingsverklaring is al een reden om het niet te doen. Laat de politie maar komen, zou ik zeggen. Dreigen is fout, hoe je het ook wendt of keert.
5) Wat was die vergissing waar het artikel het over heeft? Aan de deur rammelen om te kijken of ie op slot zit is linksom of rechtsom geen misdrijf. De eerste keer niet, en de tweede keer ook niet.
Ik reuk een Anonymous actie in de lucht. Het kan ook sneeuw zijn.
Hem van school sturen is echt triest, dit zijn uitzonderlijke situaties die niet op zo een zware bestraffing moet leiden. Hij heeft een lek gevonden, los het op!

Het is een student die totaal geen bedoeling heeft om misbruik te maken, dan mag een student niet op deze manier gestrafd worden. Maar ja, er zijn een hoop zaken in de wereld wat absurd is...
Er zit duidelijk meer achter... Wellicht wordt het één-en-ander in de doofpot gestopt? Ik kan me moeilijk voorstellen dat alle docenten 14/15 een dergelijk cruciale beslissing zomaar nemen.
Ik zou verwachten dat Al-Khabaz meer op zijn kerfstok heeft.

Op dit item kan niet meer gereageerd worden.



Populair:Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBDesktops

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013