Bill Demirkapi, 18 ans, a constaté de nombreuses faiblesses dans le système de gestion des apprentissages dans Blackboard School – une école secondaire de Boston (Massachusetts) – et dans le système d’informations des étudiants de sa ville, Aspen, conçu par Follett. La base de données des étudiants, y compris leures performances, leurs notes et leures dossiers médicaux.
L’étudiant a signalé les failles et a révélé ses conclusions à la conférence sur la sécurité Def Con. « L’idée du piratage m’a toujours fascinée », a-t-il déclaré.
Un des problèmes les plus dommageables que Demirkapi a découverts dans le système d’information des élèves de Follett concerne de nombreuses vulnérabilités. Qui, s’elles sont exploité, pourront permettre à un attaquant de lire et d’écrire dans la base de données centrale Aspen et d’obtenir les données de l’élève.
Le système était confronté à plusieurs faiblesses, notamment une erreur de divulgation. Demirkapi a déclaré qu’une erreur dans la correction de ces vulnérabilités lui avait permis de découvrir plus d’informations d’identification de base de données.
Une autre vulnérabilité permit à un utilisateur autorisé – tel qu’un étudiant – d’effectuer des attaques par injection SQL. Demirkapi a déclaré qu’il pouvait tromper six bases de données pour détecter des données en injectant des commandes SQL. Y compris les notes, les données de fréquentation scolaire, l’historique des sanctions, les balances de bibliothèque et d’autres données sensibles et privées.
Plus de 5 000 écoles et plus de cinq millions d’élèves et d’enseignants ont été affectés par les faiblesses de la seule injection de SQL, a-t-il déclaré.
Demirkapi a déclaré qu’il avait pris soin de ne pas accéder aux dossiers des étudiants autres que les siens. Cependant, il a averti que tout attaquant peu qualifié aurait pu causer des dommages importants en consultant et en obtenant les dossiers des étudiants, notamment en raison de la simplicité du mot de passe de la base de données. Il a dit que c’était pire que 1234. Mais trouver ces faiblesses n’était qu’un aspect du défi.
Demirkapi voulait montrer sa preuve de concept mais était incapable de contacter Follett avec les détails de la vulnérabilité. Il a ensuite visité son école, tenu une réunion et révélé les erreurs de l’entreprise.
À la fin, Blackboard a corrigé les vulnérabilités, mais Demirkapi a déclaré qu’il avait constaté que l’entreprise « n’était pas vraiment prêtes à gérer les rapports de vulnérabilité ». « Cela m’a surpris à quel point les données des étudiants sont peu sûres », a-t-il déclaré.
« Les données scolaires ou les données des élèves doivent être considérées aussi sérieusement que les données sur la santé », a-t-il déclaré. « La prochaine génération devrait être l’une de nos priorités. »