学校记录的安全性如何 学生安全研究员说

如果您不相信您的银行，政府或您的医疗服务提供者来保护您的数据，那么您认为学生更安全的是什么?18岁的Bill Demirkapi，最近在马萨诸塞州波士顿的一名高中毕业生，在他后期学习的大部分时间都在关注他自己的学生数据。通过自学钢笔测试和漏洞搜索，Demirkapi在他学校的学习管理系统Blackboard中发现了一些漏洞，和他的学区的学生信息系统，被称为Aspen，由Follett建立，集中了学生数据，包括表现，成绩和健康记录。

这位前学生在周五的Def Con安全会议上报告了这些缺陷，并揭示了他的发现。

“我一直对黑客的想法着迷，”Demirkapi在谈话之前告诉TechCrunch。“我开始研究，但我从实践中学到了，”他说。

Demirkapi在Follett的学生信息系统中发现的一个更具破坏性的问题是一个不正当的访问控制漏洞，如果被利用可能允许攻击者读取和写入中央Aspen数据库并获取任何学生的数据。

Blackboard的社区参与平台有几个漏洞，包括信息泄露错误。Demirkapi表示，调试错误配置使他能够发现两个子域，这些子域为几十个学区的Apple应用程序配置帐户提供凭证，以及大多数(如果不是每个Blackboard的社区参与平台)的数据库凭据。

“学校数据或学生数据应与健康数据一样严肃。下一代应该是我们的首要任务之一，他们会寻找那些无法自卫的人。“

Bill Demirkapi，安全研究员

另一组漏洞可能允许授权用户(如学生)执行SQL注入攻击。Demirkapi说，通过注入SQL命令，包括成绩，入学数据，惩罚历史，图书馆余额以及其他敏感和私人数据，可能会欺骗六个数据库披露数据。

一些SQL注入漏洞是盲目攻击，这意味着转储整个数据库会更困难但并非不可能。

他说，总共有超过5,000所学校和500多万学生和教师受到SQL注入漏洞的影响。

Demirkapi表示他注意不要访问除他自己以外的任何学生记录。但他警告说，任何技术含量低的攻击者都可以通过访问和获取学生记录来造成相当大的破坏，这要归功于数据库密码的简单性。他不会说它是什么，只是它“比'1234'更糟糕。”

但发现漏洞只是挑战的一部分。向公司披露它们同样棘手。

Demirkapi承认他与Follett的披露可能会更好。他发现其中一个错误让他无法创建自己的“群组资源”，例如文本片段，这对系统中的每个用户都是可见的。

“当你递给他一个非常非常响亮的扩音器时，一个不成熟的11年级学生做什么?”他说。“大喊大叫。”

而这正是他所做的。他向每个用户发送了一条消息，在屏幕上显示每个用户的登录cookie。“不用担心，我没有偷他们，”警报说。

“学校对此并不感到兴奋，”他说。“幸运的是，我下了两天的停赛。”

他承认这不是他最聪明的想法之一。他希望展示他的概念验证，但无法联系Follett了解漏洞的详细信息。他后来经过他的学校，开了一个会议，并向公司披露了这些错误。

然而，Blackboard在几个月内忽视了Demirkapi的回应，他说。他知道，因为在被忽略的第一个月之后，他包括了一个电子邮件跟踪器，让他可以看到电子邮件的打开频率 - 在发送后的最初几个小时里，这几次变成了几次。但该公司仍然没有回应研究人员的错误报告。

Blackboard最终修复了这些漏洞，但Demirkapi表示他发现这些公司“并没有真正准备好处理漏洞报告”，尽管Blackboard表面上已经公布了漏洞披露流程。

“令我感到惊讶的是学生数据是多么不安全，”他说。“学校数据或学生数据应该像健康数据一样严肃，”他说。“下一代应该成为我们的首要任务之一，他们会寻找那些无法为自己辩护的人。”

他说如果一个青少年发现了严重的安全漏洞，那么更高级的攻击者可能会造成更大的伤害。

Blackboard的发言人Heather Phillips表示，该公司对Demirkapi的披露表示赞赏。

声明说：“我们已经解决了Demirkapi先生引起我们注意的几个问题，并没有迹象表明这些漏洞被剥削，或者Demirkapi先生或任何其他未经授权的一方访问了任何客户的个人信息。”“从这次特殊交流中汲取的教训之一就是我们可以改善与安全研究人员沟通的方式，他们将这些问题引起我们的注意。”

Follet发言人Tom Kline表示，该公司于2018年7月“开发并部署了一个补丁来解决Web漏洞”。

这位学生研究员说，他并没有因为披露他所面临的问题而感到震惊。

“我100%已经将计算机安全作为一种职业，”他说。“仅仅因为一些供应商不是良好负责任披露的最佳例子，或者拥有良好的安全计划并不意味着它们代表整个安全领域。”