Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 130 reacties

Een 20-jarige student computerwetenschappen uit Canada is van school gestuurd nadat hij een beveiligingsprobleem had ontdekt in een computersysteem van zijn hogeschool. De kwetsbaarheid maakte het voor kwaadwillenden mogelijk om privégegevens te ontfutselen.

De student, Ahmed Al-Khabaz, zegt volgens de National Post geen kwaad in de zin te hebben gehad. Hij stuitte op het beveiligingsprobleem toen hij een app aan het ontwikkelen was die studenten eenvoudiger toegang moest bieden tot hun account in het computersysteem dat onder meer door zijn hogeschool, Dawson College, werd gebruikt. Het computersysteem, Omnivox, is volgens hem slecht geprogrammeerd en biedt kwaadwillenden zonder al te veel technische kennis toegang tot privégegevens van studenten, waaronder naw-gegevens en burgerservicenummer. Het systeem wordt gebruikt op veel hogescholen in de Canadese provincie Quebec.

Toen de student in oktober de problemen samen met een medestudent aankaartte bij de schoolleiding, werd hij aanvankelijk gefeliciteerd met het vinden van het lek. Toen Al-Khabaz een paar dagen later echter de penetratietestingtool Acunetix gebruikte om te kijken of de webapplicatie nog steeds kwetsbaar was, werd hij onmiddelijk gebeld door de ceo van het bedrijf dat Omnivox ontwikkelde. Die dreigde volgens Al-Khabaz de politie te bellen, tenzij de student een geheimhoudingsverklaring zou ondertekenen. Dat deed hij.

De ceo van het bedrijf, Edouard Taza, zegt dat Al-Khabaz beter had moeten weten, maar rekent het hem niet te zwaar aan: "Het is duidelijk dat er geen kwade bedoelingen in het spel waren. Hij maakte simpelweg een vergissing", zegt hij tegen de National Post. De schoolleiding van Dawson College was het daar niet mee eens. Van de vijftien docenten van het departement computerwetenschappen stemden er veertien mee in om Al-Khabaz van school te sturen, vanwege het gebruik van de penetratietestingtool.

Al-Khabaz klaagt dat hij nooit een kans heeft gehad om zijn acties toe te lichten; hij heeft het gevoel dat de hogeschool vooral probeerde om de zaak in de doofpot te stoppen. Omdat hij van school is gestuurd, is hij niet in staat om naar een andere hogeschool te gaan. "Mijn academische carrière is compleet verwoest", aldus de student volgens de National Post. De studentenvakbond van de hogeschool is het met Al-Khabaz eens. De hogeschool was volgens de National Post niet bereikbaar voor commentaar.

Reacties (130)

Reactiefilter:-11300123+190+212+30
Moderatie-faq Wijzig weergave
Dit lijkt heel veel op de ontdekking en demonstratie van TOOOL op een universiteit in Amerika, waar ze ontdekte veiligheids-fouten in sloten demonstreerden! Met een shim van 10 cent overal gewoon verkrijgbaar, openden ze (even dit uitproberen? nog sneller dan gewoon) een slotje dat ze van een directeur aangereikt kregen! TOEN WAS ER PLOTSELING HEVIGE PANIEK!
Wat bleek, het slotje werd op alle universiteiten en scholen gebruikt voor de studenten kastjes (lockers) en nog meer waarschijnlijk door de standaardisering? Het was gewoon slecht gemaakt goedkoop slotje, maar zolang niemand iets weet zijn de mensen gelukkig en veilig! Ze willen NIET snappen, dat bepaalde groeperingen DIT allang weten, en gewoon wachten op het moment dat ze er grof misbruik van kunnen maken, (alle geheime diensten en beveilingsdiensten en uiteraard andere ranzige organisaties die hun eigen zin en wetten proberen door te drukken!
ALLES is al een keer door iemand gemaakt, maar als je GEEN verbeteringen meer mag doorvoeren of ontdekken dan wordt het systeem altijd onveiliger! Dan kun je wel heel hard roepen ons systeem is heel veilig, en we gaan naar de beurs? als laatste stuiptrekking [ en dan gaan ze falliet? ]
Ja, hoor weer hetzelfde DOMME AANGELEERDE systeem! GEHEIMHOUDEN! Je hebt altijd de vrije keus wat je gaat doen, of REPRESSIE met GEHEIMHOUDING, dat levert toch NIKS op, maar dat willen ze niet snappen! Of constructief zijn, en kijken wat ze met de ontdekkingen kunnen verbeteren aan het systeem! Dat laatste is natuurlijk VEEL BETER op de lange termijn! Behoudens dat misschien inderdaad het hele systeem complet verrot is, dan valt er weinig aan te verbeteren, en kun je altijd ergens gewoon binnenlopen? Zo te horen en zien is dat laatste dus het geval! [vooral als (de meeste leraren ook nog tegenstemden, tegen testen, dus die weten het ook [OMNICROM]
Hopelijk pleegt die jongen via TOR nog even een ontraceerbare hack, en richt hij een enorme ravage aan in dat baggersysteem van die ondankbare school :{
Ahmed Al-Khabaz

Zijn naam heeft hij in ieder geval niet mee.
In Canada speelt dat nauwelijks een rol. :) Daar hebben mensen met zulke namen een wat betere imago dan hier.

[Reactie gewijzigd door Relief2009 op 21 januari 2013 11:53]

Haha ik had ook hetzelfde idee, eigenlijk zou men nu iedereen op moet roepen om collectief het systeem aan te vallen en misbruiken om deze school en ontwikkelaar een lesje te leren maar ja dat gaat ook ver gezien de informatie zoals NAW en BSN best privacy gevoelig is en de "slachtoffers" in dit geval hier niks mee te maken hebben gehad :+

On-topic: Het is echt te gek voor woorden als het feitelijk op deze manier is gegaan als omschreven. Wees toch eens dankbaar als men de zogeheten white-hat hacks uitvoert. Nog even en we moeten het vastleggen internationaal met wetten en verplichte vergoedingen hier tegenover zetten om ontwikkelaars en dergelijken "aan te sporen" om beveiliging te verbeteren.
Ik denk dat hij daar beter zelf even niet aan kan beginnen en het beter over kan laten aan een groep als anonymus oid.

Maar idd, zijn eigen gegevens worden ook beveiligd door dat bedrijf en dan mag je wat mij betreft best wat aan het hek rammelen om te kijken of je gegevens niet zoiezo al open op straat liggen. Als je daar dan ook nog voor gestraft word terwijl je zelf het probleem hebt aangekaart dan is het wel duidelijk dat het zaakje stinkt.

Ik hoop dat deze jongen iig zijn studie naar behoren kan hervatten en zijn onterechte negatieve reputatie weer recht kan trekken.
Ik reuk een Anonymous actie in de lucht. Het kan ook sneeuw zijn.
Is de site van de school nog niet plat gelegd door Anonymous? Het zou een typische actie zijn.
als je zo wordt behandeld als je het netjes aankaart...kun je net zo goed toch wat gegevens jatten van de docenten en die op straat gooien...siert hem trouwens dat ie dat niet gedaan heeft...

@Bigilia...dat was ook mijn gedachte ja....maar zijn we dan niet net zo racistisch als we zo denken?
Ben het eens met Sleepybag.. Ik hoor nu alleen de kant van die 'arme' student. Maar wie weet, wat hij heeft uitgevoerd bij het 'testen' van de hack. Ik kan me moeilijk voorstellen, dat men zonder pardon de student zomaar van school stuurt.
Hopen dat het goed komt, want dit is wel een crap reden :+
Ik krijg de laatste tijd het idee dat Canada nog verder gaat met eenboel dingen als America. Jammer, het was ooit een mooi land
Eerst een hackerstool maken en daarna zeggen dat je er geen kwade bedoelingen mee had... om vervolgens de gebeten hond te spelen als je van de opleiding wordt getrapt.[/pun] ;)

Overigens niet echt netjes van die CEO om te dreigen met vervolgstappen om een NDA getekend te krijgen. Hij zou 'm beter kunnen belonen.
Hoe dan ook, alle betrokken partijen zijn verdacht en lijken me niet zuiver op de graad. En als je door 14 van de 15 docenten wordt "weggestemd" heb je ze waarschijnlijk wel vaker het leven zuur gemaakt }> Vind 't niet echt wereldnieuws...
Overigens niet echt netjes van die CEO om te dreigen met vervolgstappen om een NDA getekend te krijgen. Hij zou 'm beter kunnen belonen.
De CEO is wel terecht niet blij met deze figuur. Die was een app aan het maken dat functionaliteit bood van het systeem van het bedrijf van de CEO. Daarmee nam hij een commerciele mogelijkheid van het bedrijf weg. Dus dat die CEO pissed off was, is wel logisch. Dat iemand na een paar dagen meent te moeten gaan testen of het lek er nog is, is gewoon de hele oorzaak van het probleem, dat moet je niet doen.
De CEO is wel terecht niet blij met deze figuur. Die was een app aan het maken dat functionaliteit bood van het systeem van het bedrijf van de CEO. Daarmee nam hij een commerciele mogelijkheid van het bedrijf weg. Dus dat die CEO pissed off was, is wel logisch.
"Niet blij" en "pissed off" is wel van een heel ander niveau dan "dreigen te vervolgen". Het kan natuurlijk nooit de bedoeling zijn dat je onder dwang een NDA moet ondertekenen omdat anders een commercieel voordeel voor de ander wordt weggenomen. Dat komt op mij over als gebrek aan integriteit.

Op dit item kan niet meer gereageerd worden.



LG G4 Battlefield Hardline Samsung Galaxy S6 Edge Microsoft Windows 10 Samsung Galaxy S6 HTC One (M9) Grand Theft Auto V Apple iPad Air 2

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True