إذا لم تتمكن من الوثوق بمصرفك أو الحكومة أو مزودك الطبي لحماية بياناتك فما الذي يجعلك تعتقد أن الطلاب أكثر أمانًا؟ لا.
قضى بيل ديميركابي البالغ من العمر ثمانية عشر عامًا وهو خريج في المدرسة الثانوية الأخيرة في بوسطن بولاية ماساتشوستس معظم سنوات دراسته الأخيرة مع مراقبة بيانات الطالب الخاصة به. من خلال اختبار القلم الذي يدرس ذاتيًا وصيد الأخطاء وجد Demirkapi العديد من نقاط الضعف في نظام إدارة التعلم في مدرسته Blackboard ونظام معلومات الطلاب في منطقة المدرسة والمعروف باسم Aspen و Build By Follett والذي يركز على بيانات الطلاب بما في ذلك الأداء والدرجات والدرجات سجلات صحية. إلى حديثه. قال:
من بين إحدى القضايا الأكثر ضرراً كان Demirkapi الموجود في نظام معلومات الطلاب في Follett بمثابة ضعف غير مناسب للتحكم في الوصول والذي إذا كان الاستغلال قد سمح للمهاجم بالقراءة والقراءة اكتب إلى قاعدة بيانات Aspen المركزية والحصول على بيانات أي طالب.
كان لدى منصة مشاركة مجتمع Blackboard العديد من نقاط الضعف بما في ذلك خطأ الكشف عن المعلومات. سمح له سوء تصحيح تصحيح الأخطاء باكتشاف ناديين فرعيتين اللذين يعزدون بيانات اعتماد توفير تطبيقات Apple لعشرات من المناطق التعليمية وكذلك بيانات اعتماد قاعدة البيانات لمعظم منصة مشاركة مجتمعي في كل لوحة Blackboard >
يجب أن تؤخذ بيانات المدرسة أو بيانات الطالب على محمل الجد مثل البيانات الصحية. يجب أن يكون الجيل القادم أحد أولوياتنا الأولى الذين يبحثون عن أولئك الذين لا يستطيعون الدفاع عن أنفسهم. سمح للمستخدم المعتمد - مثل الطالب - بتنفيذ هجمات حقن SQL. وقال ديميركابي إنه يمكن خداع ست قواعد بيانات في الكشف عن البيانات عن طريق حقن أوامر SQL بما في ذلك الدرجات وبيانات الحضور المدرسية وتاريخ العقوبة وأرصدة المكتبات وغيرها من البيانات الحساسة والخاصة.
بعض عيوب حقن SQL كانت هجمات أعمى بمعنى أن إلقاء قاعدة البيانات بأكملها كان أكثر صعوبة ولكن ليس مستحيلًا.
في الكل أكثر من 5000 مدرسة وأكثر من خمسة ملايين طالب ومدرس تأثروا بمنافسة حقن SQL وحدها
< قال Br> Demirkapi إنه يدرك عدم الوصول إلى أي سجلات طالب غيره. لكنه حذر من أن أي مهاجم منخفض المهارات كان يمكن أن يؤدي إلى أضرار كبيرة من خلال الوصول إلى سجلات الطلاب والحصول عليها ليس أقلها بفضل بساطة كلمة مرور قاعدة البيانات. لم يكن يقول ما كان عليه فقط أنه كان أسوأ من '1234'.
ولكن العثور على نقاط الضعف كان جزءًا واحدًا فقط من التحدي. تبين أن الكشف عنهم للشركات كان صعبًا.
اعترف Demirkapi بأن الكشف عن فوليت كان يمكن أن يكون أفضل. وجد أن أحد الأخطاء أعطاه وصولًا غير لائق إلى إنشاء مورد جماعي خاص به مثل مقتطف من النص والذي كان يمكن عرضه على كل مستخدم على النظام.
سلمه مكبرات الصوت الصاخبة جدًا؟ هو قال. صرخ في ذلك.
وهذا بالضبط ما فعله. أرسل رسالة إلى كل مستخدم وعرض ملفات تعريف الارتباط لتسجيل الدخول لكل مستخدم على شاشته. وقال إنه لا تقلق لم أسرقهم قراءة التنبيه.
لم تكن المدرسة مسرورة بها. لحسن الحظ خرجت مع تعليق لمدة يومين.
اعترف بأنه لم يكن أحد أذكى أفكاره. لقد أراد أن يظهر إثبات مفهومه لكنه لم يتمكن من الاتصال بـ Follett مع تفاصيل الضعف. وقال إنه ذهب لاحقًا من خلال مدرسته التي أقام اجتماعًا وكشف عن الحشرات للشركة. إنه يعرف لأنه بعد الشهر الأول من التجاهل
اخلاء مسؤولية! هذا المقال لا يعبر بالضرورة عن رأي جامعة الرازي