Bill Demirkapi, một học sinh lớp 11 trường Lexington, Massachusetts đã phát hiện thấy một lỗ hổng trong một phần mềm được trường cậu sử dụng để chấm điểm, thông báo điểm và sắp xếp lịch học của học sinh trong trường.
Nếu lợi dụng thành công lỗ hổng này, kẻ xấu có thể lấy cắp các thông tin cá nhân của học sinh như mật khẩu, ngày tháng năm sinh, nơi sinh sống, thông tin dinh dưỡng bữa trưa tại trường…
Phần mềm này có tên là Aspen, do công ty Follett Corporation phát triển. Lỗ hổng mà Demirkapi phát hiện trên Aspen cho phép hacker có thể chèn trực tiếp những đoạn mã của mình vào các website. Hệ thống ngăn chặn không cho hacker tự thêm những dòng lệnh ngoài chỉ định trên Aspen không hiệu quả, chỉ có thể xóa được 1 phần của dòng lệnh mà thôi.
Bill Demirkapi đã gửi thư thông báo về phát hiện của mình tới Follett Corporation nhưng công ty này đã phớt lờ đi. Chính vì vậy, cậu bé quyết định sử dụng chính phần mềm để gửi đi một thông báo.
"Xin chào, tôi là Bill Demirkapi 123, đây là cookies của phần mềm. Và đừng lo lắng, tôi không lấy nó làm việc xấu đâu. Follett Corporation chả có biện pháp bảo mật gì cả. :)."
Nhưng lời nhắn này thay vì đi đến Follett Corporation lại chuyển tới hệ thống thông báo của trường. Vì vậy, tất cả phụ huynh, giáo viên trong trường đều nhận được nó. Ngay sau đó, lời nhắn này đã được xóa bỏ nhưng nhà trường đã quyết định đình chỉ học trong một thời gian ngắn đối với Bill Demirkapi.
Tại hội nghị Defcon dành cho những hacker vừa diễn ra, Demirkapi đã phát biểu rằng: "Nhà trường có vẻ không vui vì vụ việc này, và tôi cũng hiểu được điều đó".
Cuối cùng, Follett cũng đã liên lạc với Demirkapi để hỏi về lỗ hổng trong phần mềm. Hiện tại, lỗ hổng đó đã được vá.
Bill Demirkapi còn tìm thấy khá nhiều lỗ hổng dạng SQL tồn tại trong Blackboard – một phần mềm khác cũng được thiết kế để sử dụng trong lĩnh vực giáo dục, cho phép hacker có thể thu thập được nhiều thông tin bao gồm email, số điện thoại, điểm, tuyến bus và tài khoản mạng xã hội của 5 triệu học sinh và giáo viên ở 5000 trường học khác.
Demirkapi cho biết, hệ thống thông tin giữa các trường không được ngăn cách nên hacker chỉ cần thâm nhập vào một nơi là có thể lấy được thông tin của tất cả các trường sử dụng phần mềm đó.
Demirkapi nói rằng, cậu đã nhiều lần gửi email cho Blackboard nhưng không nhận được bất kỳ phản hồi nào dù tất cả đều đã được mở ra đọc.
Những lỗ hổng mà Demirkapi tìm ra cho thấy phần mềm được sử dụng trong ngành giáo dục có thể ảnh hưởng tới hàng trăm ngàn người trên toàn đất nước nhưng đang không nhận được sự quan tâm đúng mức.
Hiện tại, Demirkapi đang theo học tại trường Đại học công nghệ Rochester và tiếp tục nghiên cứu về an ninh mạng.
Nguồn Quantrimang
