Student van school getrapt om testen beveiliging schoolsysteem

Ahmed Al-Khabaz studeerde computerwetenschappen aan Dawson College en was bezig met het ontwikkelen van een app waarmee studenten toegang konden krijgen tot hun school-account. Op die manier stuitte hij op een fout in het Omnivox-systeem dat informatie opslaat van studenten en gebruikt wordt door meerdere hogescholen.

Persoonlijke informatie van  250.000 studenten staan in het gebruikte systeem geregistreerd waaronder die van Dawson College en dus ook van Al-Khabaz zelf. Door de fout kon volgens de student zelfs iemand met basale computervaardigheden toegang krijgen tot allerlei persoonlijke informatie. De fout was het gevolg van wat Al-Khabaz ‘slordig programmeren’ noemt en maakte het mogelijk om roosters, burger service nummers, cijfercombinaties van de kluisjes en andere informatie van de studenten in te zien.

Aangezien Al-Khabaz aangeeft geen kwaad in de zin te hebben gehad, heeft hij nooit de moeite genomen zijn identiteit te verhullen achter een proxy of iets dergelijks. Hij liet zijn bevindingen weten aan de school en sprak met Francois Paradis, hoofd van informatie & technologie, Paradus bedankte Al-Khabaz en zijn collegastudent Ovidiu Mija voor het vinden van het lek. Hij zou samen met Skytech, de makers van Omnivox, aan de slag gaan het probleem te verhelpen.

Paar dagen later probeerde Al-Khabaz wederom het systeem in te komen om, naar eigen zeggen, te kijken of de fout al was opgelost. Hij gebruikte daarvoor het programma Acunetix dat kwetsbaarheden van websites test. Paar minuten later ging de telefoon in het ouderlijk huis van Al-Khabaz, het was de directeur van Skytech. Die zag de naam van Al-Khabaz voor de tweede keer opduiken in de logbestanden en vertelde de student dat zijn actie gezien kon worden als cyberaanval waarop een gevangenisstraf van zes tot 12 maanden staat.

Het aangeven van de fout werd gewaardeerd maar de test die de student nu deed om te kijken of het was opgelost, werd absoluut niet gewaardeerd. De directeur geloofde wel dat de student geen kwaad in de zin had maar gebood hem wel een non-disclosure agreement ondertekenen anders zouden ze hem laten arresteren. In de non-disclosure agreement moest hij aangeven niets van wat hij gezien heeft op de servers van Skytech openbaar te maken en ook niet de manier waarop hij op de servers kwam. Zelfs het bestaand van de non-disclosure agreement zelf mocht niet naar de buiten worden gebracht. De student tekende.

De school leek minder overtuigd van de goede bedoelingen. Zij riepen de student ook op het matje. Ze zouden hem gewaarschuwd hebben om niet meer op die manier het systeem te testen op kwetsbaarheden maar zou daar geen gehoor aan hebben gegeven. De schoolleiding zou vooral interesse hebben in wie er allemaal van de problemen op de hoogte waren waardoor Al-Khabaz de indruk kreeg dat ze het graag in de doofpot wilden stoppen. 14 van de 15 onderwijzers van de faculteit computerwetenschappen stemden in met het verwijderen van Al-Khabaz van Dawson College zonder dat de student aan hen zijn verhaal kon vertellen. Een verzoek om in beroep te gaan werd afgewezen waardoor zijn tot dan toe prima verlopen schoolcarrière over was.

De school blijft bij zijn besluit dat de student te ver is gegaan en niet heeft geluisterd naar de waarschuwingen. Al-Khabaz zegt dat hij alleen maar aan het scannen was met de software en nooit kwaad in de zin had. Toen hij hoorde dat zijn laatste scan niet door de beugel kon, vroeg hij daar toestemming voor. Ook stelt hij dat hij de school op de hoogte had gesteld van wat hij aan het doen was. Dat de school het als een aanval zag, vind hij onzin. Als hij echt kwaad in de zin had, dan had hij zijn identiteit wel verhult zo stelt Al-Khabaz. Na alle commotie rond zijn schorsing, kreeg hij verschillende banen aangeboden, waaronder een beurs en part-time baan bij Skytech. Het kan verkeren.

[Via: National Post]