Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Student van school gestuurd na ontdekken beveiligingsprobleem

Een 20-jarige student computerwetenschappen uit Canada is van school gestuurd nadat hij een beveiligingsprobleem had ontdekt in een computersysteem van zijn hogeschool. De kwetsbaarheid maakte het voor kwaadwillenden mogelijk om privégegevens te ontfutselen.

De student, Ahmed Al-Khabaz, zegt volgens de National Post geen kwaad in de zin te hebben gehad. Hij stuitte op het beveiligingsprobleem toen hij een app aan het ontwikkelen was die studenten eenvoudiger toegang moest bieden tot hun account in het computersysteem dat onder meer door zijn hogeschool, Dawson College, werd gebruikt. Het computersysteem, Omnivox, is volgens hem slecht geprogrammeerd en biedt kwaadwillenden zonder al te veel technische kennis toegang tot privégegevens van studenten, waaronder naw-gegevens en burgerservicenummer. Het systeem wordt gebruikt op veel hogescholen in de Canadese provincie Quebec.

Toen de student in oktober de problemen samen met een medestudent aankaartte bij de schoolleiding, werd hij aanvankelijk gefeliciteerd met het vinden van het lek. Toen Al-Khabaz een paar dagen later echter de penetratietestingtool Acunetix gebruikte om te kijken of de webapplicatie nog steeds kwetsbaar was, werd hij onmiddelijk gebeld door de ceo van het bedrijf dat Omnivox ontwikkelde. Die dreigde volgens Al-Khabaz de politie te bellen, tenzij de student een geheimhoudingsverklaring zou ondertekenen. Dat deed hij.

De ceo van het bedrijf, Edouard Taza, zegt dat Al-Khabaz beter had moeten weten, maar rekent het hem niet te zwaar aan: "Het is duidelijk dat er geen kwade bedoelingen in het spel waren. Hij maakte simpelweg een vergissing", zegt hij tegen de National Post. De schoolleiding van Dawson College was het daar niet mee eens. Van de vijftien docenten van het departement computerwetenschappen stemden er veertien mee in om Al-Khabaz van school te sturen, vanwege het gebruik van de penetratietestingtool.

Al-Khabaz klaagt dat hij nooit een kans heeft gehad om zijn acties toe te lichten; hij heeft het gevoel dat de hogeschool vooral probeerde om de zaak in de doofpot te stoppen. Omdat hij van school is gestuurd, is hij niet in staat om naar een andere hogeschool te gaan. "Mijn academische carrière is compleet verwoest", aldus de student volgens de National Post. De studentenvakbond van de hogeschool is het met Al-Khabaz eens. De hogeschool was volgens de National Post niet bereikbaar voor commentaar.

Door Joost Schellevis

Redacteur

21-01-2013 • 09:41

130 Linkedin Google+

Reacties (130)

Wijzig sortering
Het probleem is zolang dit soort acties zo worden behandeld. (gestraft in plaats van beloond) Kan je toch zo een bedrijf niet serieus nemen? Allemaal leuk en aardig dat die CEO zegt dat hij een fout heeft gemaakt, en dat er geen kwade bedoelingen waren.

Dus in plaats van die jongen een dank je taart en bloemen te sturen wilde hij een getekende geheimhouding en een dreiging. Mooie bal.

Voordat hij dat contract getekend had, even opzoeken wie de top 5 klanten zijn van Omnivox, daar even een paar mailtjes heen met de stand van zaken van hun duur betaalde software, kom nou.
het ging over zeer gevoelige ID gegerateerde info van mensen op die school DUS ook ZIJN gegevens.. ieder weldenkend mens weet dan dat hij het volste recht zou moeten hebben om te te zien op een snel ingrijpen van het bedrijf en de school... want morgen staat de FBI misschien wel voor z'n duur omdat iemand onder zijn naam ali-chemicalie het land in probeerde te smokkelen...

toe zien of het lek daadwerkelijk al behandeld was lijkt me niet meer dan logisch, en wat ik nog het jammerlijkste van die verhaal vind is dat we 'nooit' zullen weten hoe lang die leerlingen nog onveilig zullen zijn (?geweest?)
Je haalt wel een paar dingen door elkaar:
- Het uitvoeren van een penetratietest, zonder toestemming, is gewoon strafbaar. Daar mag het bedrijf de politie voor inschakelen.
- De NDA (geheimhouding) is niet om iets te verbergen maar om te voorkomen dat het lek aan het licht komt voordat het gedicht is. Als de student het 5 minuten na het ontdekken op internet gooit worden er vast hele databases gestolen met alle gevolgen vandien. Mogelijk was dat ook strafbaar geweest.
- Het is de beslissing van de school om de student van school te gooien. Daar heet die CEO niets mee te maken. Als ik het goed begrijp staat de CEO zelfs aan de student zijn kant.

Uiteraard jammer voor de student dat het zo moet aflopen. Gewoon een jong iemand die een inschattingsfout maakt. Daar zou een college van "wijze" professoren ook zo over moeten oordelen overigens. Ik denk dus dat we een stuk van het verhaal missen :)
1 2 3 4 5

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True