如果您不相信您的銀行，政府或您的醫(yī)療服務(wù)提供者來保護(hù)您的數(shù)據(jù)，那么您認(rèn)為學(xué)生更安全的是什么?18歲的Bill Demirkapi，最近在馬薩諸塞州波士頓的一名高中畢業(yè)生，在他后期學(xué)習(xí)的大部分時(shí)間都在關(guān)注他自己的學(xué)生數(shù)據(jù)。通過自學(xué)鋼筆測(cè)試和漏洞搜索，Demirkapi在他學(xué)校的學(xué)習(xí)管理系統(tǒng)Blackboard中發(fā)現(xiàn)了一些漏洞，和他的學(xué)區(qū)的學(xué)生信息系統(tǒng)，被稱為Aspen，由Follett建立，集中了學(xué)生數(shù)據(jù)，包括表現(xiàn)，成績(jī)和健康記錄。

這位前學(xué)生在周五的Def Con安全會(huì)議上報(bào)告了這些缺陷，并揭示了他的發(fā)現(xiàn)。

“我一直對(duì)黑客的想法著迷，”Demirkapi在談話之前告訴TechCrunch。“我開始研究，但我從實(shí)踐中學(xué)到了，”他說。

Demirkapi在Follett的學(xué)生信息系統(tǒng)中發(fā)現(xiàn)的一個(gè)更具破壞性的問題是一個(gè)不正當(dāng)?shù)脑L問控制漏洞，如果被利用可能允許攻擊者讀取和寫入中央Aspen數(shù)據(jù)庫并獲取任何學(xué)生的數(shù)據(jù)。

Blackboard的社區(qū)參與平臺(tái)有幾個(gè)漏洞，包括信息泄露錯(cuò)誤。Demirkapi表示，調(diào)試錯(cuò)誤配置使他能夠發(fā)現(xiàn)兩個(gè)子域，這些子域?yàn)閹资畟€(gè)學(xué)區(qū)的Apple應(yīng)用程序配置帳戶提供憑證，以及大多數(shù)(如果不是每個(gè)Blackboard的社區(qū)參與平臺(tái))的數(shù)據(jù)庫憑據(jù)。

“學(xué)校數(shù)據(jù)或?qū)W生數(shù)據(jù)應(yīng)與健康數(shù)據(jù)一樣嚴(yán)肅。下一代應(yīng)該是我們的首要任務(wù)之一，他們會(huì)尋找那些無法自衛(wèi)的人。“

Bill Demirkapi，安全研究員

另一組漏洞可能允許授權(quán)用戶(如學(xué)生)執(zhí)行SQL注入攻擊。Demirkapi說，通過注入SQL命令，包括成績(jī)，入學(xué)數(shù)據(jù)，懲罰歷史，圖書館余額以及其他敏感和私人數(shù)據(jù)，可能會(huì)欺騙六個(gè)數(shù)據(jù)庫披露數(shù)據(jù)。

一些SQL注入漏洞是盲目攻擊，這意味著轉(zhuǎn)儲(chǔ)整個(gè)數(shù)據(jù)庫會(huì)更困難但并非不可能。

他說，總共有超過5,000所學(xué)校和500多萬學(xué)生和教師受到SQL注入漏洞的影響。

Demirkapi表示他注意不要訪問除他自己以外的任何學(xué)生記錄。但他警告說，任何技術(shù)含量低的攻擊者都可以通過訪問和獲取學(xué)生記錄來造成相當(dāng)大的破壞，這要?dú)w功于數(shù)據(jù)庫密碼的簡(jiǎn)單性。他不會(huì)說它是什么，只是它“比'1234'更糟糕。”

但發(fā)現(xiàn)漏洞只是挑戰(zhàn)的一部分。向公司披露它們同樣棘手。

Demirkapi承認(rèn)他與Follett的披露可能會(huì)更好。他發(fā)現(xiàn)其中一個(gè)錯(cuò)誤讓他無法創(chuàng)建自己的“群組資源”，例如文本片段，這對(duì)系統(tǒng)中的每個(gè)用戶都是可見的。

“當(dāng)你遞給他一個(gè)非常非常響亮的擴(kuò)音器時(shí)，一個(gè)不成熟的11年級(jí)學(xué)生做什么?”他說。“大喊大叫。”

而這正是他所做的。他向每個(gè)用戶發(fā)送了一條消息，在屏幕上顯示每個(gè)用戶的登錄cookie。“不用擔(dān)心，我沒有偷他們，”警報(bào)說。

“學(xué)校對(duì)此并不感到興奮，”他說。“幸運(yùn)的是，我下了兩天的停賽。”

他承認(rèn)這不是他最聰明的想法之一。他希望展示他的概念驗(yàn)證，但無法聯(lián)系Follett了解漏洞的詳細(xì)信息。他后來經(jīng)過他的學(xué)校，開了一個(gè)會(huì)議，并向公司披露了這些錯(cuò)誤。

然而，Blackboard在幾個(gè)月內(nèi)忽視了Demirkapi的回應(yīng)，他說。他知道，因?yàn)樵诒缓雎缘牡谝粋€(gè)月之后，他包括了一個(gè)電子郵件跟蹤器，讓他可以看到電子郵件的打開頻率 - 在發(fā)送后的最初幾個(gè)小時(shí)里，這幾次變成了幾次。但該公司仍然沒有回應(yīng)研究人員的錯(cuò)誤報(bào)告。

Blackboard最終修復(fù)了這些漏洞，但Demirkapi表示他發(fā)現(xiàn)這些公司“并沒有真正準(zhǔn)備好處理漏洞報(bào)告”，盡管Blackboard表面上已經(jīng)公布了漏洞披露流程。

“令我感到驚訝的是學(xué)生數(shù)據(jù)是多么不安全，”他說。“學(xué)校數(shù)據(jù)或?qū)W生數(shù)據(jù)應(yīng)該像健康數(shù)據(jù)一樣嚴(yán)肅，”他說。“下一代應(yīng)該成為我們的首要任務(wù)之一，他們會(huì)尋找那些無法為自己辯護(hù)的人。”

他說如果一個(gè)青少年發(fā)現(xiàn)了嚴(yán)重的安全漏洞，那么更高級(jí)的攻擊者可能會(huì)造成更大的傷害。

Blackboard的發(fā)言人Heather Phillips表示，該公司對(duì)Demirkapi的披露表示贊賞。

聲明說：“我們已經(jīng)解決了Demirkapi先生引起我們注意的幾個(gè)問題，并沒有跡象表明這些漏洞被剝削，或者Demirkapi先生或任何其他未經(jīng)授權(quán)的一方訪問了任何客戶的個(gè)人信息。”“從這次特殊交流中汲取的教訓(xùn)之一就是我們可以改善與安全研究人員溝通的方式，他們將這些問題引起我們的注意。”

Follet發(fā)言人Tom Kline表示，該公司于2018年7月“開發(fā)并部署了一個(gè)補(bǔ)丁來解決Web漏洞”。

這位學(xué)生研究員說，他并沒有因?yàn)榕端媾R的問題而感到震驚。

“我100%已經(jīng)將計(jì)算機(jī)安全作為一種職業(yè)，”他說。“僅僅因?yàn)橐恍┕?yīng)商不是良好負(fù)責(zé)任披露的最佳例子，或者擁有良好的安全計(jì)劃并不意味著它們代表整個(gè)安全領(lǐng)域。”