Si no puede confiar en su banco, gobierno o su proveedor médico para proteger sus datos, ¿qué le hace pensar que los estudiantes están más seguros?

Resulta que, según un investigador de seguridad estudiantil, no lo son.

Bill Demirkapi, de dieciocho años de edad, recién graduado de la escuela secundaria en Boston, Massachusetts, pasó gran parte de sus últimos años escolares con la vista puesta en los datos de sus propios estudiantes. A través de la prueba de la pluma autodidacta y la búsqueda de errores, Demirkapi encontró varias vulnerabilidades en el sistema de gestión de aprendizaje de su escuela, Blackboard, y el sistema de información estudiantil de su distrito escolar, conocido como Aspen y construido por Follett, que centraliza los datos de los alumnos, incluidos el rendimiento, las calificaciones y los registros de salud.

El ex alumno informó sobre las fallas y reveló sus hallazgos en la conferencia de seguridad de Def Con el viernes.

"Siempre me ha fascinado la idea de piratear", dijo Demirkapi a TechCrunch antes de su charla. "Comencé a investigar pero aprendí haciendo", dijo.

Entre uno de los problemas más dañinos que Demirkapi encontró en el sistema de información para estudiantes de Follett fue una vulnerabilidad de control de acceso inadecuada, que si se explota podría haber permitido que un atacante lea y escriba en la base de datos central de Aspen y obtenga los datos de cualquier estudiante.

La plataforma de participación comunitaria de Blackboard tenía varias vulnerabilidades, incluido un error de divulgación de información. Una configuración incorrecta de depuración le permitió descubrir dos subdominios, que escupieron las credenciales para las cuentas de aprovisionamiento de aplicaciones de Apple para docenas de distritos escolares, así como las credenciales de la base de datos para la mayoría, si no todas, las plataformas de Blackboard's Community Engagement, dijo Demirkapi.

“Los datos de la escuela o de los estudiantes deben tomarse tan en serio como los datos de salud. La próxima generación debería ser una de nuestras prioridades número uno, que cuida a aquellos que no pueden defenderse ".
Bill Demirkapi, investigador de seguridad

Otro conjunto de vulnerabilidades podría haber permitido a un usuario autorizado, como un estudiante, realizar ataques de inyección SQL. Demirkapi dijo que seis bases de datos podrían ser engañadas para revelar datos mediante la inyección de comandos SQL, que incluyen calificaciones, datos de asistencia escolar, historial de castigos, saldos de bibliotecas y otros datos confidenciales y privados.

Algunos de los defectos de inyección de SQL fueron ataques ciegos, lo que significa que eliminar toda la base de datos hubiera sido más difícil pero no imposible.

En total, más de 5.000 escuelas y más de cinco millones de estudiantes y maestros se vieron afectados solo por las vulnerabilidades de inyección SQL, dijo.

Demirkapi dijo que estaba atento a no acceder a ningún registro de estudiantes que no sea el suyo. Pero advirtió que cualquier atacante poco calificado podría haber hecho un daño considerable al acceder y obtener los registros de los estudiantes, sobre todo gracias a la simplicidad de la contraseña de la base de datos. No quiso decir qué era, solo que era "peor que" 1234 "".

Pero encontrar las vulnerabilidades fue solo una parte del desafío. Divulgarlos a las compañías resultó ser igual de complicado.

Demirkapi admitió que su revelación con Follett podría haber sido mejor. Descubrió que uno de los errores le daba acceso inadecuado para crear su propio "recurso grupal", como un fragmento de texto, que era visible para todos los usuarios del sistema.

"¿Qué hace un niño inmaduro de 11 ° grado cuando le entregas un megáfono muy, muy ruidoso?", Dijo. "Grítalo".

Y eso es exactamente lo que hizo. Envió un mensaje a cada usuario, mostrando las cookies de inicio de sesión de cada usuario en su pantalla. "No se preocupe, no los robé", decía la alerta.

"La escuela no estaba encantada con eso", dijo. "Afortunadamente, salí con una suspensión de dos días".

Reconoció que no era una de sus ideas más inteligentes. Quería mostrar su prueba de concepto, pero no pudo contactar a Follett con detalles de la vulnerabilidad. Más tarde fue a su escuela, que organizó una reunión, y reveló los errores a la empresa.

Blackboard, sin embargo, ignoró las respuestas de Demirkapi durante varios meses, dijo. Lo sabe porque después del primer mes de ser ignorado, incluyó un rastreador de correo electrónico, lo que le permitió ver con qué frecuencia se abrió el correo electrónico, que resultó ser varias veces en las primeras horas después del envío. Y, sin embargo, la compañía aún no respondió al informe de error del investigador.

Blackboard eventualmente corrigió las vulnerabilidades, pero Demirkapi dijo que encontró que las compañías "no estaban realmente preparadas para manejar informes de vulnerabilidad", a pesar de que Blackboard aparentemente tenía un proceso de divulgación de vulnerabilidad publicado.

"Me sorprendió lo inseguros que son los datos de los estudiantes", dijo. "Los datos de la escuela o de los estudiantes deben tomarse tan en serio como los datos de salud", dijo. "La próxima generación debería ser una de nuestras prioridades número uno, que cuida a aquellos que no pueden defenderse".

Dijo que si un adolescente había descubierto serios defectos de seguridad, era probable que los atacantes más avanzados pudieran hacer mucho más daño.

Heather Phillips, portavoz de Blackboard, dijo que la compañía agradeció la divulgación de Demirkapi.

"Hemos abordado varios problemas que nos llamó la atención el Sr. Demirkapi y no tenemos indicios de que estas vulnerabilidades fueron explotadas o que el Sr. Demirkapi o cualquier otra parte no autorizada accedió a la información personal de los clientes". "Una de las lecciones aprendidas de este intercambio en particular es que podríamos mejorar la forma en que nos comunicamos con los investigadores de seguridad que nos señalan estos problemas".

El portavoz de Follet, Tom Kline, dijo que la compañía "desarrolló e implementó un parche para abordar la vulnerabilidad web" en julio de 2018.

El investigador estudiantil dijo que no estaba disuadido por los problemas que enfrentaba con la divulgación.

"Ya estoy 100% decidido a hacer seguridad informática como carrera", dijo. "El hecho de que algunos proveedores no sean los mejores ejemplos de buena divulgación responsable o tengan un buen programa de seguridad no significa que sean representativos de todo el campo de seguridad".

Dejar respuesta

Please enter your comment!
Please enter your name here