Cậu ta còn tìm được lỗ hổng khác ảnh hưởng tới 5000 trường học khác nhau.
Bill Demirkapi, một học sinh lớp 11 trường Lexington, Massachusetts đã tìm thấy một lỗ hổng trong Aspen - phần mềm được trường cậu dùng
để chấm điểm, thông báo điểm và sắp xếp lịch học của học sinh. Với lỗ hổng này, những kẻ xấu có thể lấy được mật khẩu học sinh, ngày tháng năm sinh, nơi họ sinh sống, thông tin dinh dưỡng bữa trưa tại trường và rất nhiều thông tin khác nữa.Là một học sinh ngoan, Bill Demirkapi
không muốn lợi dụng lỗ hổng này mà muốn thông báo với Follett Corporation - công ty làm nên phần mềm Aspen. Thế nhưng công ty này đã phớt lờ những bức thư mà cậu gửi cho họ, chính vì vậy cậu đã sử dụng chính phần mềm
để gửi đi một thông báo."Xin chào tôi là Bill Demirkapi 123, Follett Corporation chả có biện pháp bảo mật gì cả. Đây là cookies của phần mềm, đừng lo vì tôi
không lấy nó làm việc xấu đâu :)"Nhưng thay vì lời nhắn này đi đến những nhà phát triển của công ty, nó đã chuyển tới hệ thống thông báo của trường và đến với b
ất cứ phụ huynh, giáo viên và các nhà điều hành của trường. Lời nhắn này sau đó đã được xóa bỏ đi, nhưng cũng vì vậy mà cậu đã bị trường đình chỉ học trong một thời gian ngắn."Trường có vẻ
không vui vì vụ việc này, và tôi cũng hiểu được điều đó." - Demirkapi phát biểu tại hội nghị Defcon dành cho những hacker vừa diễn ra. Đám đông cũng đã vỗ tay hưởng ứng hành động đúng đắn của cậu.Sau nhiều sự khó khăn, cuối cùng Follett cũng đã liên lạc được với cậu
để hỏi về lỗ hổng trong phần mềm, và giờ nó đã được vá. Lỗ hổng này và một vài lỗ khác mà cậu tìm ra cho thấy phần mềm được sử dụng trong ngành giáo dục đang
không nhận được sự quan tâm đúng mức, mặc dù chúng có thể ảnh hưởng tới hàng trăm ngàn người trên toàn đất nước.Bill DemirkapiLỗ hổng của Aspen cho phép những hacker có thể chèn trực tiếp những đoạn mã của mình vào các website. Đa phần hệ thống hiện nay có các biện pháp
để ngăn chặn hành động này,
không cho hacker tự thêm những dòng lệnh ngoài chỉ định. Tuy vậy hệ thống được áp dụng vào Aspen
không hiệu quả, chỉ có thể xóa được 1 phần của dòng lệnh mà thôi.Demirkapi cũng tìm thấy khá nhiều lỗ hổng dạng SQL của phần mềm Blackboard - cũng được thiết kế
để sử dụng trong lĩnh vực giáo dục. Với lỗ hổng này, hacker có thể thu thập được nhiều thông tin của 5000 trường học, ảnh hưởng tới 5 triệu học sinh và giáo viên, bao gồm email, số điện thoại, điểm, tuyến bus và tài khoản mạng xã hội."Hệ thống thông tin
không được ngăn cách giữa các trường, chính vì vậy các kẻ xấu chỉ cần thâm nhập vào 1 nơi là có thể lấy được thông tin của t
ất cả các trường." - Demirkapi giải thích.Quá trình thông báo lỗi cũng tiềm ẩn những nguy cơ xấu, làm lộ các lỗ hổng này cho những kẻ xấu. Demirkapi nói rằng đã nhiều lần gửi email cho Blackboard nhưng
không nhận được trả lời, mặc dù t
ất cả đều đã được mở ra đọc.Trả lời phỏng vấn của trang Motherboard, người phát ngôn của Blackboard nói: "Tính bảo m?
?t ph???n mềm và thông tin của khách hàng là những thứ được chúng tôi đặt lên hàng đầu. Chúng tôi rất biết ơn những người tìm thấy và thông báo về các lỗ hổng trong phần mềm, và trong đó có Bill Demirkapi. Chúng tôi sẽ tiếp tục hoàn thiện sản phẩm
để đem tới những giải pháp an toàn cho khách hàng."Còn công ty Follett thì
không đưa ra trả lời khi được hỏi về vấn đề này, nhưng cũng đã đưa ra lời cảm ơn với cậu Demirkapi về việc khám phá ra các lỗ hổng.Doug Levin, chủ tịch của công ty của công ty EdTech Strategies quá trình thông báo về các lỗi phần mềm giáo dục thường rất khó khăn. Mặc dù ch?
? đích của những nhà nghiên cứu thứ 3 như Demirkapi là tốt, nhưng nếu làm
không đúng cách thì cũng có thể đưa những thông tin xấu vào tay những hacker.Hiện tại, Demirkapi đã được nhận vào trường Đại học công nghệ Rochester
để tiếp tục nghiên cứu về an ninh mạng. Trong một bài phát biểu, cậu nói: "Thời gian đầu tiên việc tìm lỗ hổng trong phần mềm chỉ là cách tôi học hỏi về an ninh mạng. Nhưng càng tìm hiểu sâu tôi càng tìm thấy những lỗ hổng tồi tệ hơn tưởng tượng."Cái băng điện tử Mario này có gì đặc biệt mà được mua với giá 2,3 tỷ VNĐ?
Nguồn bài viết : Xổ số miền Nam thứ Nam
