Bill Demirkapi นักเรียนที่เพิ่งจบจากไฮสคูลในเมืองบอสตันได้ทำการทดสอบต่าง ๆ กับระบบจัดการและเก็บข้อมูลของนักเรียนในโรงเรียน ซึ่งเขาพบว่าระบบจัดการการเรียนรู้ของโรงเรียนอย่าง Blackboard และระบบข้อมูลโรงเรียนในเขตของเขา Aspen ซึ่งพัฒนาโดย Follett มีปัญหาความปลอดภัยหลายอย่าง
Demirkapi ได้นำข้อมูลนี้เปิดเผยในงาน Def Con ซึ่งเป็นงานด้านความปลอดภัยซึ่งจัดขึ้นในวันศุกร์ที่ผ่านมา โดยมีช่องโหว่หลายอย่างที่น่าสนใจและถือเป็นช่องโหว่ที่รุนแรงต่อระบบ
ช่องโหว่หนึ่งที่ Demirkapi ค้นพบอยู่บนระบบข้อมูลของนักเรียน เป็นช่องโหว่ที่จัดการ access control แบบไม่เหมาะสม ซึ่งหากมีการเจาะระบบขึ้นมา แฮกเกอร์ก็อ่านเขียนฐานข้อมูลหรือจะเอาข้อมูลนักเรียนคนใดออกไปจาก Aspen ก็ได้
ส่วนฝั่ง Blackboard ก็พบว่ามีช่องโหว่ไม่น้อยเหมือนกัน เช่น บั๊กเปิดเผยข้อมูล หรือการตั้งค่าดีบั๊กของระบบก็ทำให้เขาค้นพบสองซับโดเมนที่เมื่อเข้าไปแล้วก็ให้ credential สำหรับแอปของ Apple ที่ใช้สร้างบัญชีให้โรงเรียนในเขตอีกหลายโรงเรียน รวมถึง credential สำหรับเข้าใช้งานฐานข้อมูล Community Engagement บน Blackboard อีกหลายโรงเรียย
นอกจากนี้ Demirkapi ระบุว่ามีอีก 6 ฐานข้อมูลที่เขาสามารถใช้ SQL injection เข้าไปดูข้อมูลต่าง ๆ ได้ง่ายดาย ไม่ว่าจะเป็นเกรด, ข้อมูลการเข้าโรงเรียน, ประวัติการลงโทษ ไปจนถึงข้อมูลส่วนตัวอื่น ๆ ที่ไม่ควรจะให้ใครเห็นได้ง่าย ๆ และยังเปิดช่องในมี blind attack อีกด้วย คือแม้ว่าการ dump ทั้งฐานข้อมูลออกมาจะไม่ใช่เรื่องง่าย แต่ก็ไม่ใช่จะเป็นไปไม่ได้ ซึ่งเขาระบุว่าเฉพาะ SQL injection เพียงช่องโหว่เดียวก็มีโรงเรียนราว 5,000 แห่ง ซึ่งมีครูและนักเรียนกว่า 5 ล้านคนได้รับผลกระทบแล้ว
การตั้งรหัสผ่านก็สำคัญไม่แพ้กัน Demirkapi ระบุว่าผู้บุกรุกแม้จะมีทักษะต่ำก็สามารถทำความเสียหายได้ เนื่องจากรหัสผ่านฐานข้อมูลไม่ได้ยากเลย เขาไม่ได้บอกว่ารหัสผ่านเป็นอะไรแต่บอกเพียงแค่ว่า “แย่กว่า 1234” เสียอีก
หลังจากค้นพบบั๊กแล้ว ก็ถึงขั้นตอนรายงานบั๊กที่ Demirkapi ยอมรับว่ายากเพราะไม่มีช่องทางติดต่อ Follett เขาจึงใช้ช่องโหว่หนึ่งคือการให้สิทธิ์สร้าง group resource ที่ทุกคนเห็นได้ ทำการสร้างข้อความคุกกี้ล็อกอินของแต่ละคนแสดงบนหน้าจอพร้อมข้อความว่า “No worries, I didn’t steal them”
เขายอมรับว่านี่ไม่ใช่วิธีที่ดีในการรายงานบั๊ก เพราะ Demirkapi ต้องการแสดง proof-of-concept แต่ไม่สามารถติดต่อ Follett เพื่อให้ข้อมูลช่องโหว่ได้ ซึ่งสุดท้ายโรงเรียนได้จัดประชุมให้ เขาจึงได้เปิดเผยบั๊กให้บริษัทรับทราบ
ส่วนฝั่ง Blackboard แม้จะมีระบบรายงานช่องโหว่ แต่ Demirkapi บอกว่าบริษัทก็ยังเพิกเฉยต่อบั๊กของเขาหลายเดือน โดยเขาใส่ตัวติดตามไว้ในอีเมลจึงรู้ว่าอีเมลถูกเปิดเมื่อไรบ้าง และพบว่าอีเมลถูกเปิดไม่กี่ครั้งหลังจากที่เขาส่งไปในชั่วโมงแรก ๆ แต่บริษัทก็ไม่ได้ตอบสนองอะไร แม้ว่าสุดท้ายจะมีการดำเนินการต่อแต่ Demirkapi บอกว่าผิดหวังที่บริษัทไม่ได้เตรียมการจัดการรายงานช่องโหว่ที่ดีพอ
Demirkapi ให้ความเห็นต่อกรณีนี้ว่า เขารู้สึกตกใจเมื่อรู้ว่าข้อมูลนักเรียนไม่ปลอดภัยแค่ไหน ข้อมูลของโรงเรียนและนักเรียนควรจะถูกจัดการในลักษณะเดียวกับข้อมูลสุขภาพ และถ้าเด็กวัยรุ่นหาช่องโหว่ความปลอดภัยที่อันตรายได้ ถ้าเจอผู้บุกรุกที่มีความเชี่ยวชาญคงจะทำอะไรร้ายแรงกว่านี้แน่
Heather Pillips โฆษกของ Blackboard ได้ออกมาแถลงภายหลัง เขาระบุว่าบริษัทได้อุดช่องโหว่ที่ Demirkapi รายงานมาแล้ว และไม่มีสัญญาณที่บ่งบอกว่าช่องโหว่นี้ถูกใช้งานหรือมีข้อมูลส่วนตัวถูกเข้าถึงโดย Demirkapi เองหรือผู้ไม่ได้รับอนุญาตคนอื่น ๆ ซึ่งทางบริษัทได้เรียนรู้ว่าเราควรจะปรับปรุงการสื่อสารกับนักวิจัยความปลอดภัยที่รายงานประเด็นเหล่านี้เข้ามา
ที่มา - TechCrunch