Подкинуть наверх
Стол регистраций, быстро и безболезненно Присоединиться Идентификация
Ищем по постам, комментариям и картинкам
Nibler.ru >> Идиотизмы >> Студента отчислили за помощь в поиске уязвимостей

Студента отчислили за помощь в поиске уязвимостей



20-летний студент Ahmed Al-Khabaz (Ахмед Аль-Хабаз) отчислен с факультета компьютерных наук монреальского колледжа. Причиной стало то, что он дважды запустил сканер веб-уязвимостей на сайте учебного заведения — и нашёл-таки опасную уязвимость в учебном портале Omnivox, который используют почти все колледжи и университеты Квебека. Тем самым он якобы «поставил под угрозу» приватные данные 250 тысяч студентов.

Студент колледжа Доусона (Монреаль) и член местного компьютерного клуба, Ахмед работал над мобильным приложением, с помощью которого студентам было бы легче работать со своими данными на учебном сайте. Во время работы над программой он с коллегами и обнаружил вышеупомянутую уязвимость в Omnivox. Из-за «небрежного кодирования» любой желающий, обладающий базовыми компьютерными знаниями, может получить доступ к профилю любого студента в системе, включая номер социального страхования, домашний адрес, номер телефона, расписание занятий и всё остальное.

Когда Ахмед обнаружил уязвимость, он посчитал своим моральным долгом сообщить о ней руководству колледжа. «Я мог бы легко скрыть свою личность за прокси. Но я не сделал этого, потому что не считал, что совершаю что-то плохое», — говорит студент в интервью канадской газете National Post.

Ахмеда и его друга, тоже программиста, пригласили на встречу с директором по информационным технологиям колледжа. Тот поблагодарил их за работу и пообещал, что они вместе с компанией Skytech, разработчиком системы Omnivox, закроют уязвимость в ближайшее время.

Через два дня Ахмед решил проверить, закрыли они дыру или нет. Он запустил сканер веб-уязвимостей Acunetix, и буквально тут же к нему домой позвонили из компании Skytech. Звонил лично президент компании — он сказал, что уже второй раз видит Ахмеда в своих логах, и то что он делает, называется кибератакой. Ахмед несколько раз извинился и объяснил, что это именно он обнаружил ту уязвимость, о которой сообщал пару дней назад, а сейчас просто проверял, что она закрыта. Президент компании Skytech сказал, что парню грозит от 6 до 12 месяцев тюрьмы, если он прямо сейчас не приедет и не подпишет NDA (соглашение о неразглашении), что студент и сделал. Согласно этому документу, он не имел права разглашать любую информацию, найденную на серверах Skytech, или любую другую информацию, которая касается компании Skytech и их программного обеспечения и способов доступа к серверам.

Соглашение также запрещало разглашать факт наличия соглашения.

В интервью National Post директор компании потом объяснил, что в каждом программном обеспечении есть баги, и Ахмед с другом нашёл хитрый баг в безопасности, но использование сканера уже было нарушением. Такие программы, говорит он, можно использовать только предварительно уведомив владельца сервера.

О «проступке» студента узнало руководство колледжа, которое инициировало процедуру его отчисления за «серьёзное нарушение профессиональной этики» (serious professional conduct issue). После обсуждения вопрос поставили на голосование среди 15 профессоров факультета компьютерных наук, и за исключение проголосовали 14 из них. Сам Ахмед считает несправедливым, что ему не дали возможности объяснить ситуацию лично перед советом факультета.
http://habrahabr.ru/post/166459uyazvimostey-poiske-pomosch-kartinki-idiotizmy

Нравится? Жми:

Поступило от Лёня Долгов 22 января 2013, посмотрело 2820 чел.

122



Похожие посты
  • 151

За голову Обамы назначили награду

  • 141

Ра

  • 184

Этого студента звали Нильс Бор (7 класс+)

  • 78

Российские чиновники намерены запретить анонимность в Интернет

  • 395

автора этого поста звали Альберт Эйнштейн

Комментарии7 Комментарии Вконтакте
Привет!
Понравился сайт? Тогда давай к нам! Моментальная регистрация
У нас куча весёлых людей! А еще енот и две черепахи.
Комментарии через Вконтакте, для тех у кого не доходят руки зарегистрироваться. Но Вконтакте-то вы точно есть ;)
Присаживаемся поудобней, заполняем формы, бланки и т.п.
Закрыть окошко
Моментальная регистрация через социальные сети
Или обычная регистрация на сайте
Пошель
Слыш, пацанчик! Ты с какого района? документики есть?
Закрыть окошко
Моментальный вход через социальные сети:
Или проверка личности

Введите ваш логин и пароль в форму

Пошель

О сайте Немного о нашем сообществе и ответы на вопросы Мы в соц.сетях:
Вконтакте   Facebook   Twitter   Одноклассники
Обратная связь    Багоприемник