บันทึกของโรงเรียนปลอดภัยแค่ไหน? ไม่มากนักวิจัยด้านความปลอดภัยของนักเรียนกล่าว — OPDEV.MEN

บันทึกของโรงเรียนปลอดภัยแค่ไหน? ไม่มากนักวิจัยด้านความปลอดภัยของนักเรียนกล่าว thumbnail

หากคุณไม่สามารถเชื่อถือธนาคารรัฐบาลหรือผู้ให้บริการทางการแพทย์ของคุณเพื่อปกป้องข้อมูลของคุณสิ่งใดที่ทำให้คุณคิดว่านักเรียนปลอดภัยกว่า ปรากฎว่านักวิจัยด้านความปลอดภัยของนักเรียนคนหนึ่งไม่ได้ Bill Demirkapi อายุสิบแปดปีผู้ซึ่งสำเร็จการศึกษาระดับมัธยมปลายเมื่อเร็ว ๆ นี้ในเมืองบอสตันรัฐแมสซาชูเซตส์ได้ใช้เวลาส่วนใหญ่ในโรงเรียนมัธยมปลายเพื่อศึกษาข้อมูลนักเรียนของเขาเอง Demirkapi พบช่องโหว่หลายอย่างในระบบการจัดการเรียนรู้ของโรงเรียน Blackboard และระบบข้อมูลนักเรียนของโรงเรียนของเขาที่รู้จักกันในชื่อ Aspen และสร้างโดย Follett ซึ่งรวบรวมข้อมูลนักเรียนรวมถึงประสิทธิภาพเกรด และบันทึกสุขภาพ นักเรียนเก่ารายงานข้อบกพร่องและเปิดเผยสิ่งที่เขาพบในการประชุมความมั่นคง Def Con เมื่อวันศุกร์ “ ฉันหลงใหลในความคิดของการแฮ็คอยู่เสมอ” Demirkapi บอก TechCrunch ก่อนที่เขาจะพูดคุย “ ฉันเริ่มค้นคว้า แต่เรียนรู้จากการทำ” เขากล่าว หนึ่งในปัญหาที่สร้างความเสียหายมากขึ้น Demirkapi ที่พบในระบบข้อมูลนักเรียนของ Follett คือช่องโหว่การควบคุมการเข้าถึงที่ไม่เหมาะสมซึ่งหากถูกโจมตีอาจทำให้ผู้โจมตีสามารถอ่านและเขียนไปยังฐานข้อมูล Aspen ส่วนกลางและรับข้อมูลของนักเรียนได้ แพลตฟอร์ม Community Community ของ Blackboard มีช่องโหว่หลายประการรวมถึงจุดบกพร่องในการเปิดเผยข้อมูล การกำหนดค่าผิดพลาดในการดีบักทำให้เขาสามารถค้นพบโดเมนย่อยสองโดเมนซึ่งกระจายข้อมูลประจำตัวสำหรับบัญชีการจัดสรรแอพของ Apple สำหรับโรงเรียนหลายสิบแห่งรวมถึงข้อมูลรับรองฐานข้อมูลสำหรับแพลตฟอร์มการมีส่วนร่วมของชุมชนใน Blackboard Dememeapi กล่าว “ ข้อมูลโรงเรียนหรือข้อมูลนักเรียนควรได้รับการพิจารณาอย่างจริงจังเช่นเดียวกับข้อมูลด้านสุขภาพ คนรุ่นต่อไปควรเป็นหนึ่งในลำดับความสำคัญอันดับหนึ่งของเราซึ่งจะต้องระวังผู้ที่ไม่สามารถป้องกันตนเองได้” Bill Demirkapi นักวิจัยด้านความปลอดภัย ช่องโหว่อีกชุดหนึ่งอาจอนุญาตให้ผู้ใช้ที่ได้รับอนุญาตเช่นนักเรียนทำการโจมตี SQL injection Demirkapi กล่าวว่าหกฐานข้อมูลสามารถถูกหลอกให้เปิดเผยข้อมูลโดยการฉีดคำสั่ง SQL รวมถึงผลการเรียน, ข้อมูลการเข้าโรงเรียน, ประวัติการลงโทษ, ยอดห้องสมุด, และข้อมูลที่ละเอียดอ่อนและข้อมูลส่วนตัวอื่น ๆ ข้อบกพร่องในการฉีด SQL บางส่วนเป็นการโจมตีแบบตาบอดหมายถึงการทิ้งฐานข้อมูลทั้งหมดจะทำได้ยากขึ้น แต่ก็เป็นไปไม่ได้ โดยรวมแล้วโรงเรียนกว่า 5,000 แห่งและนักเรียนและครูกว่าห้าล้านคนได้รับผลกระทบจากช่องโหว่การฉีด SQL เพียงอย่างเดียว Demirkapi กล่าวว่าเขาตั้งใจที่จะไม่เข้าถึงบันทึกนักเรียนใด ๆ นอกจากตัวเขาเอง แต่เขาเตือนว่าผู้จู่โจมที่มีทักษะต่ำสามารถทำความเสียหายได้มากโดยการเข้าถึงและรับบันทึกของนักเรียนไม่น้อยกว่านี้ด้วยความเรียบง่ายของรหัสผ่านของฐานข้อมูล เขาจะไม่พูดในสิ่งที่มันเป็นเพียงว่า “แย่กว่า” 1234 ” แต่การค้นหาช่องโหว่เป็นเพียงส่วนหนึ่งของความท้าทาย การเปิดเผยข้อมูลให้กับ บริษัท กลายเป็นเรื่องยุ่งยาก Demirkapi ยอมรับว่าการเปิดเผยข้อมูลของเขากับ Follett น่าจะดีกว่า เขาพบว่าหนึ่งในข้อบกพร่องให้เขาเข้าถึงที่ไม่เหมาะสมในการสร้าง “กลุ่มทรัพยากร” ของเขาเองเช่นตัวอย่างของข้อความซึ่งสามารถดูได้โดยผู้ใช้ทุกคนในระบบ “ ผู้ที่อายุไม่ถึง 11 ปีทำอะไรเมื่อคุณส่งโทรโข่งเสียงดังมาก” เขากล่าว “ ตะโกนใส่มัน” และนั่นคือสิ่งที่เขาทำ เขาส่งข้อความถึงผู้ใช้ทุกคนโดยแสดงคุกกี้การเข้าสู่ระบบของผู้ใช้แต่ละคนบนหน้าจอ “ไม่ต้องกังวลฉันไม่ได้ขโมย” การแจ้งเตือนอ่าน “ โรงเรียนไม่ได้ตื่นเต้นกับมันเลย” เขากล่าว “ โชคดีที่ฉันลงไปด้วยการหยุดสองวัน” เขายอมรับว่ามันไม่ใช่หนึ่งในความคิดที่ฉลาดที่สุดของเขา เขาต้องการแสดงหลักฐานแนวคิดของเขา แต่ไม่สามารถติดต่อ Follett เพื่อทราบรายละเอียดของช่องโหว่ได้ หลังจากนั้นเขาก็ผ่านโรงเรียนของเขาซึ่งจัดตั้งการประชุมและเปิดเผยข้อบกพร่องให้กับ บริษัท อย่างไรก็ตามกระดานดำไม่สนใจคำตอบของ Demirkapi เป็นเวลาหลายเดือนเขากล่าว เขารู้เพราะหลังจากเดือนแรกที่ถูกเพิกเฉยเขาได้รวมตัวติดตามอีเมลทำให้เขาเห็นว่าอีเมลเปิดบ่อยแค่ไหนซึ่งกลายเป็นหลายครั้งในสองสามชั่วโมงแรกหลังจากส่ง แต่ถึงกระนั้น บริษัท ก็ยังไม่ตอบสนองต่อรายงานข้อผิดพลาดของนักวิจัย ในที่สุด Blackboard จะแก้ไขช่องโหว่ แต่ Demirkapi กล่าวว่าเขาพบว่า บริษัท “ ไม่พร้อมที่จะจัดการกับรายงานช่องโหว่” แม้ว่ากระดานดำจะมีกระบวนการเปิดเผยช่องโหว่ที่เผยแพร่แล้วก็ตาม “ มันทำให้ฉันประหลาดใจว่าข้อมูลนักเรียนไม่ปลอดภัยเป็นอย่างไร” เขากล่าว “ ข้อมูลโรงเรียนหรือข้อมูลนักเรียนควรได้รับการพิจารณาอย่างจริงจังเหมือนกับข้อมูลด้านสุขภาพ” เขากล่าว “ คนรุ่นต่อไปควรเป็นหนึ่งในลำดับความสำคัญอันดับหนึ่งของเราที่คอยระวังคนที่ไม่สามารถป้องกันตนเองได้” เขากล่าวว่าหากวัยรุ่นค้นพบข้อบกพร่องด้านความปลอดภัยที่ร้ายแรงอาจเป็นไปได้ว่าผู้โจมตีระดับสูงอาจทำดาเมจได้มากกว่า Heather Phillips โฆษกของ Blackboard กล่าวว่า บริษัท ชื่นชมการเปิดเผยของ Demirkapi “ เราได้กล่าวถึงหลายประเด็นที่นายเดอร์คีกาปีได้นำเสนอต่อเราและไม่มีข้อบ่งชี้ว่าช่องโหว่เหล่านี้ถูกนำไปใช้ประโยชน์หรือว่ามิสเตอร์เดอคีปีพีหรือข้อมูลส่วนบุคคลของลูกค้าถูกเข้าถึงโดยบุคคลที่ไม่ได้รับอนุญาต” “ หนึ่งในบทเรียนที่เรียนรู้จากการแลกเปลี่ยนนี้คือเราสามารถปรับปรุงวิธีการสื่อสารกับนักวิจัยด้านความปลอดภัยที่นำประเด็นเหล่านี้มาสู่ความสนใจของเรา” Tom Kline โฆษกของ Follet กล่าวว่า บริษัท “ พัฒนาและติดตั้ง patch เพื่อแก้ไขช่องโหว่ของเว็บ” ในเดือนกรกฎาคม 2018 นักวิจัยของนักเรียนบอกว่าเขาไม่ได้ถูกขัดขวางจากปัญหาที่เขาเผชิญกับการเปิดเผย “ ฉันตั้ง 100% แล้วว่าทำเรื่องความปลอดภัยของคอมพิวเตอร์เป็นอาชีพ” เขากล่าว “ เพียงเพราะผู้ค้าบางรายไม่ได้เป็นตัวอย่างที่ดีที่สุดของการเปิดเผยข้อมูลที่มีความรับผิดชอบที่ดีหรือมีโปรแกรมความปลอดภัยที่ดีไม่ได้หมายความว่าพวกเขาเป็นตัวแทนของความปลอดภัยทั้งหมด”
ดูข้อมูลเพิ่มเติม จากแหล่งเว็บไซต์ข่าว

Facebook Comments