Cậu bé này bị cho nghỉ học vì tìm thấy lỗ hổng trong hệ thống phần mềm của trường

Tạ Lê Trúc Quỳnh17:02 14/08/2019

Cậu ta còn tìm được lỗ hổng khác ảnh hưởng tới 5000 trường học khác nhau.

Bill Demirkapi, một học sinh lớp 11 trường Lexington, Massachusetts đã tìm thấy một lỗ hổng trong Aspen – phần mềm được trường cậu dùng để chấm điểm, thông báo điểm và sắp xếp lịch học của học sinh. Với lỗ hổng này, những kẻ xấu có thể lấy được mật khẩu học sinh, ngày tháng năm sinh, nơi họ sinh sống, thông tin dinh dưỡng bữa trưa tại trường và rất nhiều thông tin khác nữa.

Là một học sinh ngoan, Bill Demirkapi không muốn lợi dụng lỗ hổng này mà muốn thông báo với Follett Corporation – công ty làm nên phần mềm Aspen. Thế nhưng công ty này đã phớt lờ những bức thư mà cậu gửi cho họ, chính vì vậy cậu đã sử dụng chính phần mềm để gửi đi một thông báo.

“Xin chào tôi là Bill Demirkapi 123, Follett Corporation chả có biện pháp bảo mật gì cả. Đây là cookies của phần mềm, đừng lo vì tôi không lấy nó làm việc xấu đâu :)”

Nhưng thay vì lời nhắn này đi đến những nhà phát triển của công ty, nó đã chuyển tới hệ thống thông báo của trường và đến với bất cứ phụ huynh, giáo viên và các nhà điều hành của trường. Lời nhắn này sau đó đã được xóa bỏ đi, nhưng cũng vì vậy mà cậu đã bị trường đình chỉ học trong một thời gian ngắn.

“Trường có vẻ không vui vì vụ việc này, và tôi cũng hiểu được điều đó.” – Demirkapi phát biểu tại hội nghị Defcon dành cho những hacker vừa diễn ra. Đám đông cũng đã vỗ tay hưởng ứng hành động đúng đắn của cậu.

Sau nhiều sự khó khăn, cuối cùng Follett cũng đã liên lạc được với cậu để hỏi về lỗ hổng trong phần mềm, và giờ nó đã được vá. Lỗ hổng này và một vài lỗ khác mà cậu tìm ra cho thấy phần mềm được sử dụng trong ngành giáo dục đang không nhận được sự quan tâm đúng mức, mặc dù chúng có thể ảnh hưởng tới hàng trăm ngàn người trên toàn đất nước.

Video đang HOT

Bill Demirkapi

Lỗ hổng của Aspen cho phép những hacker có thể chèn trực tiếp những đoạn mã của mình vào các website. Đa phần hệ thống hiện nay có các biện pháp để ngăn chặn hành động này, không cho hacker tự thêm những dòng lệnh ngoài chỉ định. Tuy vậy hệ thống được áp dụng vào Aspen không hiệu quả, chỉ có thể xóa được 1 phần của dòng lệnh mà thôi.

Demirkapi cũng tìm thấy khá nhiều lỗ hổng dạng SQL của phần mềm Blackboard – cũng được thiết kế để sử dụng trong lĩnh vực giáo dục. Với lỗ hổng này, hacker có thể thu thập được nhiều thông tin của 5000 trường học, ảnh hưởng tới 5 triệu học sinh và giáo viên, bao gồm email, số điện thoại, điểm, tuyến bus và tài khoản mạng xã hội.

“Hệ thống thông tin không được ngăn cách giữa các trường, chính vì vậy các kẻ xấu chỉ cần thâm nhập vào 1 nơi là có thể lấy được thông tin của tất cả các trường.” – Demirkapi giải thích.

Quá trình thông báo lỗi cũng tiềm ẩn những nguy cơ xấu, làm lộ các lỗ hổng này cho những kẻ xấu. Demirkapi nói rằng đã nhiều lần gửi email cho Blackboard nhưng không nhận được trả lời, mặc dù tất cả đều đã được mở ra đọc.

Trả lời phỏng vấn của trang Motherboard, người phát ngôn của Blackboard nói: “Tính bảo mật phần mềm và thông tin của khách hàng là những thứ được chúng tôi đặt lên hàng đầu. Chúng tôi rất biết ơn những người tìm thấy và thông báo về các lỗ hổng trong phần mềm, và trong đó có Bill Demirkapi. Chúng tôi sẽ tiếp tục hoàn thiện sản phẩm để đem tới những giải pháp an toàn cho khách hàng.”

Còn công ty Follett thì không đưa ra trả lời khi được hỏi về vấn đề này, nhưng cũng đã đưa ra lời cảm ơn với cậu Demirkapi về việc khám phá ra các lỗ hổng.

Doug Levin, chủ tịch của công ty của công ty EdTech Strategies quá trình thông báo về các lỗi phần mềm giáo dục thường rất khó khăn. Mặc dù chủ đích của những nhà nghiên cứu thứ 3 như Demirkapi là tốt, nhưng nếu làm không đúng cách thì cũng có thể đưa những thông tin xấu vào tay những hacker.

Hiện tại, Demirkapi đã được nhận vào trường Đại học công nghệ Rochester để tiếp tục nghiên cứu về an ninh mạng.

Trong một bài phát biểu, cậu nói: “Thời gian đầu tiên việc tìm lỗ hổng trong phần mềm chỉ là cách tôi học hỏi về an ninh mạng. Nhưng càng tìm hiểu sâu tôi càng tìm thấy những lỗ hổng tồi tệ hơn tưởng tượng.”

Theo GameK

Cậu bé phát hiện lỗ hổng FaceTime có thể được trao thưởng gần 5 tỷ đồng

heo thường lệ, Apple sẽ trao khoản tiền thưởng từ 25.000USD cho tới 200.000USD cho những người đã phát hiện ra các lỗ hổng, tùy vào mức độ nghiêm trọng. Do vậy, có thể cậu bé người Mỹ 14 tuổi đã phát hiện lỗ hổng, có thể nhận được khoản thưởng đụng nóc 200.000USD.

So với các lỗ hổng trong hệ thống phần mềm và thiết bị của Apple mà người ta đã tìm ra, vụ lỗ hổng FaceTime cũng được coi là nghiêm trọng, bởi nó đã khiến Apple phải đối mặt với 2 vụ kiện về quyền riêng tư của người dùng tại Canada và Texas. Không chỉ có thế, lỗ hổng FaceTime còn cho phép người gọi nghe lén và nhìn trộm qua camera ngay cả khi đối phương chưa nhấc máy.

Đây là vụ việc "đáng buồn" mới nhất của Apple, khi sự cố nghe lén bằng FaceTime xảy ra đã khiến nhiều người dùng lo lắng và hoảng sợ mà Thế giới Vi tính đã đưa tin. Thậm chí vụ việc này còn khiến Apple "vướng vào cảnh lao lý" tại Tòa nếu hai vụ kiện về quyền riêng tư nói trên thực sự xảy ra.

Những dòng báo cáo trên Twitter cho người dùng lẫn Apple về lỗ hổng FaceTime của mẹ cậu bé.

Lỗ hổng nghe lén FaceTime này được báo cáo lần đầu bởi một cậu bé 14 tuổi người Mỹ có tên là Grant Thompson, và mẹ của cậu bé đã đăng tải một đoạn tweet lên Twitter thông báo về lỗ hổng này vào ngày 20/1, thậm chí bà còn tag cả Apple vào bài đăng của mình. Tuy nhiên vì một lý do nào đó mà Apple đã không hề có bất cứ phản hồi nào, cho tới khi vụ việc trở nên nghiêm trọng hơn.

Sau đó Apple đã phải nhanh chóng vô hiệu hóa tính năng FaceTime nhóm như là một cách để bảo vệ người dùng cho tới khi một bản vá bảo mật được phát hành trong tuần này.

Liên quan đến vụ việc, trang tin CNBC mới đây đã cho biết, một giám đốc cấp cao của Apple đã tới thăm nhà của cậu bé Thompson ở Arizona vào thứ 6 tuần vừa qua. Có vẻ như họ đã thỏa thuận với nhau về việc cậu bé đã thông báo cho Apple về lỗ hổng, cũng như việc Apple cho Thompson biết, hãng dành cho cậu bé một khoản tiền thưởng vì đã phát hiện ra lỗ hổng bảo mật nghiêm trọng lần này.

"Họ cho biết, Grant đủ điều kiện để nhận được một khoản tiền thưởng vì đã tìm ra lỗ hổng bảo mật. Nếu thằng bé thực sự nhận được một khoản tiền thưởng cho những gì nó tìm được thì đây sẽ là bước đệm giúp ích cho nó trong việc học sau này, đặc biệt là trong lĩnh vực mà thằng bé đang hứng thú, và hy vọng rằng nó sẽ đạt được nhiều hơn nữa trong tương lai." - bà Michele Thompson, mẹ của cậu bé Grant đã nói với CNBC như thế.

Tuy nhiên, không phải ai khi tìm ra lỗ hổng bảo mật của Apple cũng sẽ nhận được tiền thưởng. Bởi chương trình này chỉ giới hạn cho một số người nhất định, cũng như với các lỗ hổng bảo mật cụ thể, ví dụ như các lỗ hổng về iCloud hay việc khai thác bảo mật từ các ứng dụng iOS của Apple. Theo chính sách hiện thời của Apple thì tiền thưởng sẽ không được trao cho bất cứ cá nhân nào phát hiện các lỗ hổng có trong phần mềm của Apple. Vì vậy, việc Thompson tìm ra lỗ hổng trong phần mềm iOS như đã nói, theo quy tắc là không đủ điều kiện nhận thưởng.

Nhưng có lẽ vì mức độ nghiêm trọng của lỗ hổng lần này mà Apple dường như sẽ "phá vỡ quy tắc" của mình. Tuy nhiên, thông tin chi tiết về phần thưởng cho cậu bé Grant hiện vẫn chưa được tiết lộ cụ thể. Theo thường lệ, Apple sẽ trao thưởng khoảng 25.000USD cho tới 200.000 USD cho người đã phát hiện ra các lỗ hổng, tùy vào mức độ nghiêm trọng của nó và trong vụ việc này, cậu bé có thể nhận được mức thưởng cao nhất.

Theo báo mới

D-Link chấp nhận kiểm tra lại toàn bộ hệ thống bảo mật của công ty D-Link đã chấp nhận một vài điều kiện để có thể giải quyết một vụ kiện 2 năm được Ủy ban Thương mại Liên bang Mỹ (FTC) đệ trình, về tính bảo mật không đủ trên các sản phẩm của họ. D-Link chấp nhận yêu cầu về đánh giá bảo mật từ FTC Theo Engadget, để bắt đầu, công ty được yêu cầu...