Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 130, views: 50.548 •

Een 20-jarige student computerwetenschappen uit Canada is van school gestuurd nadat hij een beveiligingsprobleem had ontdekt in een computersysteem van zijn hogeschool. De kwetsbaarheid maakte het voor kwaadwillenden mogelijk om privégegevens te ontfutselen.

De student, Ahmed Al-Khabaz, zegt volgens de National Post geen kwaad in de zin te hebben gehad. Hij stuitte op het beveiligingsprobleem toen hij een app aan het ontwikkelen was die studenten eenvoudiger toegang moest bieden tot hun account in het computersysteem dat onder meer door zijn hogeschool, Dawson College, werd gebruikt. Het computersysteem, Omnivox, is volgens hem slecht geprogrammeerd en biedt kwaadwillenden zonder al te veel technische kennis toegang tot privégegevens van studenten, waaronder naw-gegevens en burgerservicenummer. Het systeem wordt gebruikt op veel hogescholen in de Canadese provincie Quebec.

Toen de student in oktober de problemen samen met een medestudent aankaartte bij de schoolleiding, werd hij aanvankelijk gefeliciteerd met het vinden van het lek. Toen Al-Khabaz een paar dagen later echter de penetratietestingtool Acunetix gebruikte om te kijken of de webapplicatie nog steeds kwetsbaar was, werd hij onmiddelijk gebeld door de ceo van het bedrijf dat Omnivox ontwikkelde. Die dreigde volgens Al-Khabaz de politie te bellen, tenzij de student een geheimhoudingsverklaring zou ondertekenen. Dat deed hij.

De ceo van het bedrijf, Edouard Taza, zegt dat Al-Khabaz beter had moeten weten, maar rekent het hem niet te zwaar aan: "Het is duidelijk dat er geen kwade bedoelingen in het spel waren. Hij maakte simpelweg een vergissing", zegt hij tegen de National Post. De schoolleiding van Dawson College was het daar niet mee eens. Van de vijftien docenten van het departement computerwetenschappen stemden er veertien mee in om Al-Khabaz van school te sturen, vanwege het gebruik van de penetratietestingtool.

Al-Khabaz klaagt dat hij nooit een kans heeft gehad om zijn acties toe te lichten; hij heeft het gevoel dat de hogeschool vooral probeerde om de zaak in de doofpot te stoppen. Omdat hij van school is gestuurd, is hij niet in staat om naar een andere hogeschool te gaan. "Mijn academische carrière is compleet verwoest", aldus de student volgens de National Post. De studentenvakbond van de hogeschool is het met Al-Khabaz eens. De hogeschool was volgens de National Post niet bereikbaar voor commentaar.

Reacties (130)

Reactiefilter:-11300123+190+212+30
Die CEO probeerde de boel al mooi in de doofpot te stoppen, maar die docenten zijn al helemaal erg om meteen iemands leven te verwoesten. Van mij mag het hele zooitje ontslagen worden. Zo te zien heerst in Canada dezelfde reactie-georiënteerde mindset die in de VS geldt: beveiliging bestaat uit het achteraf straffen van personen die iets doen, in plaats van te voorkomen dat het kan gebeuren. De gevolgen zullen mensen wel afschrikken. Dit werkt niet. Iedereen die deze manier van denken ondersteunt mag van mij per direct worden ontslagen.
zeer vreemd verhaal.

Deze jonge man zat in een programmer club van deze school.
met een andere student maakte hij een APP om gegevens van de school makelijk op te vragen.

Mijn vragen zijn dan.

Wist de school hiervan af(hebben ze toestemming gehad van de school)?
Na het melden van het Lek aan de school, heeft hij een mededeling gehad dat hij de lek niet meer mag misbruiken.?

Ten 2e de school is verantwoordelijk voor de veiligheid van de gegevens niet het software bedrijf die de service verleend. Maar kan wel mede verantwoordelijk worden gehouden.

Ruikt naar mijn mening dat het software (Omnivox) bedrijf de school flink sponsered.
Volgens mij is er te weinig achtergrondinformatie in dit artikel om te kunnen oordelen wie er goed of fout zit.
  • Een student maakt een hackerstool maar de integriteit / het motief om die tool te maken is discutabel.
  • Een CEO die op basis van een commercieel nadeel de student dreigt met vervolging tenzij er een NDA wordt ondertekend.
  • Een schoolleiding die op basis van wankele feiten de student schorst.
Meer kun je uit dit stuk niet opmaken. Wel is er voldoende bodem voor lange discussies :-)
Naar mijn begrijpen wordt er nergens genoemd dat de student een hackerstool maakte (wel later gebruikte ter controle). De app die de student maakte moest dienen als alternatief voor al bestaande methodes/programma's om mee in te loggen en mee te managen. Ik meen dat op de UvA ook ooit zoiets gebeurd was. Het vorige roosterprogramma was dusdanig slecht dat een student zelf maar aan de slag ging. Uiteindelijk werd zijn programma ook opgenomen door de universiteit, en werd het originele programma voor beheer van roosters door studenten hierdoor vervangen. Althans, zo gaat het verhaal. Nu stuitte deze student niet op beveiligingsproblemen, maar in beide gevallen is er geen sprake van een hackerstool. Wat de student hooguit fout doet is later een tool gebruiken die enkel bedoeld is om hacken mee te facilliteren, om te controleren of het lek al is gefixed. Waarschijnlijk had zijn broncode wel kunnen worden omgebouwd tot een hackerstool, maar de schuld daarvan ligt zeker niet bij de student, die gewoon een 3rd party interface wil bouwen tot de database van de universiteit, iets waar op zich niets mis mee is (zolang hij maar niet ervoor zorgt dat studenten toegang kunnen krijgen tot delen van de database waar ze niet bij zouden mogen).
Tja de student heeft natuurlijk ook een lastige naam. (waarschijnlijk afkomstig uit het Midden- Oosten) Dan heb je het natuurlijk in de Westerse wereld al gauw 'gedaan'. Ik denk dat als die jongeman Gates, Rockefeller of Bush had geheten het heel anders had afgelopen en hij gewoon op die school had mogen blijven.
Het is toch de leverancier en in mindere mate de school die hier over de schreef gaat, waarom is er toch zoveel aandacht voor mensen die dergelijk gaten aan het licht brengen en niet de partijen die nalatig waren bij het beschermen van data die NIET van hun is.

Het wordt tijd dat dit soort bedrijven via de rechter worden aangepakt, en organisaties die dergelijke nalatigheid ondersteunen via ¨shoot the messenger" idem.
De ceo van het bedrijf, Edouard Taza, zegt dat Al-Khabaz beter had moeten weten, maar rekent het hem niet te zwaar aan: "Het is duidelijk dat er geen kwade bedoelingen in het spel waren. Hij maakte simpelweg een vergissing", zegt hij tegen de National Post.
Best brutale statement...
toch wel erg dom om onder druk wat te tekenen.

maarja met halve informatie heb je geen nieuwswaardig bericht.

heeft ie meer uitgespookt waardoor hij bang was voor de politie of was hij gewoon ontzettend dom en had hij niets te vrezen.

[Reactie gewijzigd door computerjunky op 21 januari 2013 20:08]

"De ceo van het bedrijf, Edouard Taza, zegt dat Al-Khabaz beter had moeten weten, maar rekent het hem niet te zwaar aan: "Het is duidelijk dat er geen kwade bedoelingen in het spel waren. Hij maakte simpelweg een vergissing", zegt hij tegen de National Post

De schoolleiding van Dawson College was het daar niet mee eens. Van de vijftien docenten van het departement computerwetenschappen stemden er veertien mee in om Al-Khabaz van school te sturen, vanwege het gebruik van de penetratietestingtool."

Ja ja, de CEO van het beveiligingsbedrijf (die er het meeste belang bij heeft om die jongen het zwijgen op te leggen) pleit hem vrij maar 14 van de 15 IT docenten willen hem weg hebben? Ik heb een vermoeden hoe dat ging: de schoolleiding heeft ergens een reglement waarin staat dat ongeoorloofd gedrag reden kan zijn om iemand van school te sturen, ze vragen de IT docenten of het gebruik van een penetratietool ongeoorloofd gedrag is, 14 zeggen "ja, maar hij heeft uiteindelijk niets verkeerds gedaan", waarop de schoolleiding weer vraagt "maar jullie vinden het in principe wel ongeoorloofd gedrag", waarop de docenten "ja, in principe wel" antwoorden. Vervolgens stuurt de schoolleiding de student van school en zeggen ze dat ze de steun hebben van 14 van de 15 IT docenten, dit komt op de voorpagina, een paar dagen later zeggen die docenten dat ze helemaal niet is gevraagd of de student van school moest worden gestuurd, maar dat komt ergens in een hoekje op pagina 15...

De schoolleiding maakt hier ook nog eens de klassieke fout te denken dat je zoiets in de doofpot kunt stoppen, het wordt alleen maar erger wanneer die student z'n frustratie bij de media gaat uiten, zoals nu gebeurd is. Uiteraard zal niemand de schoolleiding aanspreken op hun bestuurlijke incompetentie en mogen ze hun riante salarissen en extraatjes gewoon houden...

Dat de CEO van het beveiliginsbedrijf de student een geheimhoudingsverklaring liet tekenen slaat ook echt nergens op: een vrije markt kan niet functioneren als de consument geen informatie krijgt over de gebreken van bedrijven. Maar ja, dit zal ook wel weer onbestraft blijven...
Shooting the messenger
"Het is duidelijk dat er geen kwade bedoelingen in het spel waren. Hij maakte simpelweg een vergissing"
Maar je belt wel de politie(of dreigt ermee) 8)7

Ik zou de details van 't lek direct door sluizen naar Anonymous, in ruil voor zijn 'dankbaarheid'...

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Samsung Gamecontrollers Smartphones Sony Microsoft Apple Games Politiek en recht Consoles

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013