وجد بيل ديميركابي Bill Demirkapi البالغ من العمر ثمانية عشر عامًا العديد من نقاط الضعف في نظام إدارة التعلم في مدرسته Blackboard – ثانوية في بوسطن بولاية ماساتشوستس Massachusetts – ونظام معلومات الطلاب في مدينته ككل والمعروف باسم Aspen والذي صممه Follett. والذي يركز على بيانات الطلاب بما في ذلك الأداء والدرجات والسجلات الصحية. وقد أبلغ الطالب بيل عن العيوب وكشف النتائج التي توصل إليها في مؤتمر الأمن Def Con يوم الجمعة. وقال في هذا الصدد : “لقد كنت مفتونًا دائمًا بفكرة القرصنة، وأضاف “لقد بدأت البحث ولكني تعلمت بالممارسة”.
من بين واحدة من أكثر المشكلات إتلافًا التي وجدها Demirkapi في نظام معلومات الطلاب الخاص بـ Follett تواجد ثغرات أمنية. والتي إذا استغلت يمكن أن تسمح للمهاجم بالقراءة والكتابة في قاعدة بيانات Aspen المركزية والحصول على بيانات أي طالب. وواجه النظام العديد من نقاط الضعف بما في ذلك خطأ في الكشف عن المعلومات. وقال Demirkapi إن خطأ في تصحيح نقاط الضعف هذه سمح له باكتشاف المزيد من بيانات اعتماد قاعدة البيانات.
مجموعة أخرى من الثغرات الأمنية قد سمحت للمستخدم المصرح له – مثل الطالب – بتنفيذ هجمات حقن SQL. وقال Demirkapi أنه يمكن خداع ست قواعد بيانات للكشف عن البيانات عن طريق حقن أوامر SQL. بما في ذلك الدرجات وبيانات الحضور في المدارس وتاريخ العقوبة وأرصدة المكتبات والبيانات الحساسة والخاصة الأخرى. وقال إن أكثر من 5000 مدرسة وأكثر من خمسة ملايين طالب ومعلم تأثروا بنقاط الضعف في حقن SQL وحدها.
قال ديميركابي إنه كان حريصًا على عدم الوصول إلى سجلات الطلاب بخلاف سجله. لكنه حذر من أن أي مهاجم من ذوي المهارات المنخفضة كان يمكن أن يلحق أضرارًا كبيرة من خلال الوصول إلى سجلات الطلاب والحصول عليها، وليس أقلها بفضل بساطة كلمة مرور قاعدة البيانات. وقال إنه كان أسوأ من 1234. لكن العثور على نقاط الضعف هذه لم يكن سوى جزء واحد من التحدي.
واعترف Demirkapi أن الكشف عنه مع Follett كان يمكن أن يكون أفضل. أراد إظهار إثباته للمفهوم ولكنه لم يتمكن من الاتصال ب Follett مع تفاصيل الثغرة الأمنية. ذهب في وقت لاحق من خلال مدرسته، التي عقدت لقاء وكشف عن الأخطاء للشركة.
وقال إن Blackboard تجاهل ردود Demirkapi لعدة أشهر. إنه يعلم أنه بعد الشهر الأول من التجاهل، قام بتضمين متتبع بريد إلكتروني، مما يتيح له معرفة عدد مرات فتح البريد الإلكتروني – والذي تبين أنه كان عدة مرات في الساعات القليلة الأولى بعد إرساله. ومع ذلك، لم تستجب الشركة بعد لتقرير الباحث.
في النهاية، قام Blackboard بإصلاح الثغرات الأمنية، لكن Demirkapi قال إنه وجد أن الشركات “لم تكن مستعدة حقًا للتعامل مع تقارير الثغرات الأمنية”. وقال: “لقد فاجأني كم أن بيانات الطلاب غير آمنة”. وقال “يجب أن تؤخذ بيانات المدرسة أو بيانات الطلاب على محمل الجد مثل البيانات الصحية”. وأضاف “يجب أن يكون الجيل التالي أحد أولوياتنا”.
المصدر : Blackboard