Студента відрахували за використання сканера веб-вразливостей

Причиною стало те, що він двічі запустив сканер веб-вразливостей на сайті навчального закладу - і знайшов-таки небезпечну уразливість в навчальному порталі Omnivox, який використовують майже всі коледжі та університети Квебека. Тим самим він нібито «поставив під загрозу» приватні дані 250 тисяч студентів.

Студент коледжу Доусона (Монреаль) і член місцевого комп'ютерного клубу, Ахмед працював над мобільним додатком, за допомогою якого студентам було б легше працювати зі своїми даними на навчальному сайті. Під час роботи над програмою він з колегами і виявив вищезгадану уразливість в Omnivox. Через «недбалого кодування» будь-який бажаючий, що володіє базовими комп'ютерними знаннями, може отримати доступ до профілю будь-якого студента в системі, включаючи номер соціального страхування, домашню адресу, номер телефону, розклад занять і все інше.

Коли Ахмед виявив уразливість, він вважав своїм моральним обов'язком повідомити про неї керівництву коледжу. «Я міг би легко приховати свою особистість за проксі. Але я не зробив цього, бо не вважав, що чиню щось погане », - говорить студент в інтерв'ю канадській газеті National Post.

Ахмеда і його друга, теж програміста, запросили на зустріч з директором з інформаційних технологій коледжу. Той подякував їм за роботу і пообіцяв, що вони разом з компанією Skytech, розробником системи Omnivox, закриють вразливість найближчим часом.

Через два дні Ахмед вирішив перевірити, закрили вони діру чи ні. Він запустив сканер веб-вразливостей Acunetix, і буквально тут же до нього додому зателефонували з компанії Skytech. Дзвонив особисто президент компанії - він сказав, що вже другий раз бачить Ахмеда в своїх логах, і те що він робить, називається кібератакою. Ахмед кілька разів вибачився і пояснив, що це саме він виявив ту вразливість, про яку повідомляв пару днів назад, а зараз просто перевіряв, що вона закрита. Президент компанії Skytech сказав, що хлопцеві загрожує від 6 до 12 місяців в'язниці, якщо він прямо зараз не приїде і не підпише NDA (угода про нерозголошення), що студент і зробив. Згідно з цим документом, він не мав права розголошувати будь-яку інформацію, знайдену на серверах Skytech, або будь-яку іншу інформацію, яка стосується компанії Skytech і їх програмного забезпечення і способів доступу до серверів.

Угода також забороняло розголошувати факт наявності угоди.

В інтерв'ю National Post директор компанії потім пояснив, що в кожному програмному забезпеченні є баги, і Ахмед з одним знайшов хитрий баг в безпеці, але використання сканера вже було порушенням. Такі програми, говорить він, можна використовувати тільки попередньо повідомивши власника сервера.

Про «проступок» студента дізналося керівництво коледжу, яке ініціювало процедуру його відрахування за «серйозне порушення професійної етики» (serious professional conduct issue). Після обговорення питання поставили на голосування серед 15 професорів факультету комп'ютерних наук, і за виключення проголосували 14 з них. Сам Ахмед вважає несправедливим, що йому не дали можливості пояснити ситуацію особисто перед радою факультету.