學校記錄的安全性如何 學生安全研究員說不是很好

如果您不相信您的銀行，政府或您的醫療服務提供者來保護您的數據，那么您認為學生更安全的是什么?

事實證明，據一位學生安全研究員說，他們不是。

18歲的Bill Demirkapi，最近在馬薩諸塞州波士頓的一名高中畢業生，在他后期學習的大部分時間都在關注他自己的學生數據。通過自學鋼筆測試和漏洞搜索，Demirkapi在他學校的學習管理系統Blackboard中發現了一些漏洞，和他的學區的學生信息系統，被稱為Aspen，由Follett建立，集中了學生數據，包括表現，成績和健康記錄。

這位前學生在周五的Def Con安全會議上報告了這些缺陷，并揭示了他的發現。

“我一直對黑客的想法著迷，”Demirkapi在談話之前告訴TechCrunch。“我開始研究，但我從實踐中學到了，”他說。

Demirkapi在Follett的學生信息系統中發現的一個更具破壞性的問題是一個不正當的訪問控制漏洞，如果被利用可能允許攻擊者讀取和寫入中央Aspen數據庫并獲取任何學生的數據。

Blackboard的社區參與平臺有幾個漏洞，包括信息泄露錯誤。Demirkapi表示，調試錯誤配置使他能夠發現兩個子域，這些子域為幾十個學區的Apple應用程序配置帳戶提供憑證，以及大多數(如果不是每個Blackboard的社區參與平臺)的數據庫憑據。

“學校數據或學生數據應與健康數據一樣嚴肅。下一代應該是我們的首要任務之一，他們會尋找那些無法自衛的人。“

Bill Demirkapi，安全研究員

另一組漏洞可能允許授權用戶(如學生)執行SQL注入攻擊。Demirkapi說，通過注入SQL命令，包括成績，入學數據，懲罰歷史，圖書館余額以及其他敏感和私人數據，可能會欺騙六個數據庫披露數據。

一些SQL注入漏洞是盲目攻擊，這意味著轉儲整個數據庫會更困難但并非不可能。

他說，總共有超過5,000所學校和500多萬學生和教師受到SQL注入漏洞的影響。

Demirkapi表示他注意不要訪問除他自己以外的任何學生記錄。但他警告說，任何技術含量低的攻擊者都可以通過訪問和獲取學生記錄來造成相當大的破壞，這要歸功于數據庫密碼的簡單性。他不會說它是什么，只是它“比'1234'更糟糕。”

但發現漏洞只是挑戰的一部分。向公司披露它們同樣棘手。

Demirkapi承認他與Follett的披露可能會更好。他發現其中一個錯誤讓他無法創建自己的“群組資源”，例如文本片段，這對系統中的每個用戶都是可見的。

“當你遞給他一個非常非常響亮的擴音器時，一個不成熟的11年級學生做什么?”他說。“大喊大叫。”

而這正是他所做的。他向每個用戶發送了一條消息，在屏幕上顯示每個用戶的登錄cookie。“不用擔心，我沒有偷他們，”警報說。

“學校對此并不感到興奮，”他說。“幸運的是，我下了兩天的停賽。”

他承認這不是他最聰明的想法之一。他希望展示他的概念驗證，但無法聯系Follett了解漏洞的詳細信息。他后來經過他的學校，開了一個會議，并向公司披露了這些錯誤。

然而，Blackboard在幾個月內忽視了Demirkapi的回應，他說。他知道，因為在被忽略的第一個月之后，他包括了一個電子郵件跟蹤器，讓他可以看到電子郵件的打開頻率 - 在發送后的最初幾個小時里，這幾次變成了幾次。但該公司仍然沒有回應研究人員的錯誤報告。

Blackboard最終修復了這些漏洞，但Demirkapi表示他發現這些公司“并沒有真正準備好處理漏洞報告”，盡管Blackboard表面上已經公布了漏洞披露流程。

“令我感到驚訝的是學生數據是多么不安全，”他說。“學校數據或學生數據應該像健康數據一樣嚴肅，”他說。“下一代應該成為我們的首要任務之一，他們會尋找那些無法為自己辯護的人。”

他說如果一個青少年發現了嚴重的安全漏洞，那么更高級的攻擊者可能會造成更大的傷害。

Blackboard的發言人Heather Phillips表示，該公司對Demirkapi的披露表示贊賞。

聲明說：“我們已經解決了Demirkapi先生引起我們注意的幾個問題，并沒有跡象表明這些漏洞被剝削，或者Demirkapi先生或任何其他未經授權的一方訪問了任何客戶的個人信息。”“從這次特殊交流中汲取的教訓之一就是我們可以改善與安全研究人員溝通的方式，他們將這些問題引起我們的注意。”

Follet發言人Tom Kline表示，該公司于2018年7月“開發并部署了一個補丁來解決Web漏洞”。

這位學生研究員說，他并沒有因為披露他所面臨的問題而感到震驚。

“我100%已經將計算機安全作為一種職業，”他說。“僅僅因為一些供應商不是良好負責任披露的最佳例子，或者擁有良好的安全計劃并不意味著它們代表整個安全領域。”