Инцидент произошел после того, как ученик канадского ВУЗа обнаружил опасную брешь на web-сайте учебного заведения.
Студент факультета компьютерных наук канадского ВУЗа Dawson College 20-летний Ахмед аль-Хабаз (Ahmed Al-Khabaz) был отчислен из учебного заведения за использование сканера уязвимостей на официадном web-сайте колледжа. Об этом сообщает издание National Post, которому удалось взять у него интервью.
В ходе работы над мобильным приложением, предназначенным для облегчения работы студентов со своими личными данными на портале ВУЗа, Ахмед обнаружил опасную уязвимость, эксплуатация которой позволяла удаленно получить доступ к личным данным 250 тысяч учащихся, в том числе к номеру телефона, домашнему адресу, номеру социального страхования и даже расписанию занятий.
Как позже пояснил сам студент, он посчитал своим «моральным долгом» сообщить о найденной бреши руководству учебного заведения. При этом, как сообщается, угроза существовала из-за того, что создатели уязвимого web-приложения «Omnivox» небрежно отнеслись к процессу разработки и воспользоваться ею мог любой обладатель базовых компьютерных знаний.
После того, как информация об уязвимости была передана директору колледжа Франсуа Парадизу (François Paradis), к работам по устранению бреши подключились сотрудники компании Skytech, являющейся автором указанного программного обеспечения.
Некоторое время спустя Ахмед решил проверить была ли брешь устранена. В этих целях он использовал сканер уязвимостей «Acunetix Web Vulnerability Scanner», после чего ему позвонили из Skytech и потребовали прекратить атаку.
«Я неоднократно извинился и пояснил, что я и есть тот, кто обнаружил брешь, - сообщил студент. – Мне сказали, что подобные действия грозят тюремным заключением сроком от 6 до 12 месяцев и обязали подписать соглашение о неразглашении. И я его подписал».
Позже студента отчислили голосованием преподавательского состава ВУЗа. 14 из 15 профессоров факультета проголосовали за отчисление Ахмеда по причине «грубого нарушения профессиональной этики».
Источник: securitylab.ru.
|