Cậu bé này bị cho nghỉ học vì tìm thấy lỗ hổng trong hệ thống phần mềm của trường

Tạ Lê Trúc Quỳnh17:02 14/08/2019

Cậu ta còn tìm được lỗ hổng khác ảnh hưởng tới 5000 trường học khác nhau.

Bill Demirkapi, một học sinh lớp 11 trường Lexington, Massachusetts đã tìm thấy một lỗ hổng trong Aspen – phần mềm được trường cậu dùng để chấm điểm, thông báo điểm và sắp xếp lịch học của học sinh. Với lỗ hổng này, những kẻ xấu có thể lấy được mật khẩu học sinh, ngày tháng năm sinh, nơi họ sinh sống, thông tin dinh dưỡng bữa trưa tại trường và rất nhiều thông tin khác nữa.

Là một học sinh ngoan, Bill Demirkapi không muốn lợi dụng lỗ hổng này mà muốn thông báo với Follett Corporation – công ty làm nên phần mềm Aspen. Thế nhưng công ty này đã phớt lờ những bức thư mà cậu gửi cho họ, chính vì vậy cậu đã sử dụng chính phần mềm để gửi đi một thông báo.

“Xin chào tôi là Bill Demirkapi 123, Follett Corporation chả có biện pháp bảo mật gì cả. Đây là cookies của phần mềm, đừng lo vì tôi không lấy nó làm việc xấu đâu :)”

Nhưng thay vì lời nhắn này đi đến những nhà phát triển của công ty, nó đã chuyển tới hệ thống thông báo của trường và đến với bất cứ phụ huynh, giáo viên và các nhà điều hành của trường. Lời nhắn này sau đó đã được xóa bỏ đi, nhưng cũng vì vậy mà cậu đã bị trường đình chỉ học trong một thời gian ngắn.

“Trường có vẻ không vui vì vụ việc này, và tôi cũng hiểu được điều đó.” – Demirkapi phát biểu tại hội nghị Defcon dành cho những hacker vừa diễn ra. Đám đông cũng đã vỗ tay hưởng ứng hành động đúng đắn của cậu.

Sau nhiều sự khó khăn, cuối cùng Follett cũng đã liên lạc được với cậu để hỏi về lỗ hổng trong phần mềm, và giờ nó đã được vá. Lỗ hổng này và một vài lỗ khác mà cậu tìm ra cho thấy phần mềm được sử dụng trong ngành giáo dục đang không nhận được sự quan tâm đúng mức, mặc dù chúng có thể ảnh hưởng tới hàng trăm ngàn người trên toàn đất nước.

Video đang HOT

Bill Demirkapi

Lỗ hổng của Aspen cho phép những hacker có thể chèn trực tiếp những đoạn mã của mình vào các website. Đa phần hệ thống hiện nay có các biện pháp để ngăn chặn hành động này, không cho hacker tự thêm những dòng lệnh ngoài chỉ định. Tuy vậy hệ thống được áp dụng vào Aspen không hiệu quả, chỉ có thể xóa được 1 phần của dòng lệnh mà thôi.

Demirkapi cũng tìm thấy khá nhiều lỗ hổng dạng SQL của phần mềm Blackboard – cũng được thiết kế để sử dụng trong lĩnh vực giáo dục. Với lỗ hổng này, hacker có thể thu thập được nhiều thông tin của 5000 trường học, ảnh hưởng tới 5 triệu học sinh và giáo viên, bao gồm email, số điện thoại, điểm, tuyến bus và tài khoản mạng xã hội.

“Hệ thống thông tin không được ngăn cách giữa các trường, chính vì vậy các kẻ xấu chỉ cần thâm nhập vào 1 nơi là có thể lấy được thông tin của tất cả các trường.” – Demirkapi giải thích.

Quá trình thông báo lỗi cũng tiềm ẩn những nguy cơ xấu, làm lộ các lỗ hổng này cho những kẻ xấu. Demirkapi nói rằng đã nhiều lần gửi email cho Blackboard nhưng không nhận được trả lời, mặc dù tất cả đều đã được mở ra đọc.

Trả lời phỏng vấn của trang Motherboard, người phát ngôn của Blackboard nói: “Tính bảo mật phần mềm và thông tin của khách hàng là những thứ được chúng tôi đặt lên hàng đầu. Chúng tôi rất biết ơn những người tìm thấy và thông báo về các lỗ hổng trong phần mềm, và trong đó có Bill Demirkapi. Chúng tôi sẽ tiếp tục hoàn thiện sản phẩm để đem tới những giải pháp an toàn cho khách hàng.”

Còn công ty Follett thì không đưa ra trả lời khi được hỏi về vấn đề này, nhưng cũng đã đưa ra lời cảm ơn với cậu Demirkapi về việc khám phá ra các lỗ hổng.

Doug Levin, chủ tịch của công ty của công ty EdTech Strategies quá trình thông báo về các lỗi phần mềm giáo dục thường rất khó khăn. Mặc dù chủ đích của những nhà nghiên cứu thứ 3 như Demirkapi là tốt, nhưng nếu làm không đúng cách thì cũng có thể đưa những thông tin xấu vào tay những hacker.

Hiện tại, Demirkapi đã được nhận vào trường Đại học công nghệ Rochester để tiếp tục nghiên cứu về an ninh mạng.

Trong một bài phát biểu, cậu nói: “Thời gian đầu tiên việc tìm lỗ hổng trong phần mềm chỉ là cách tôi học hỏi về an ninh mạng. Nhưng càng tìm hiểu sâu tôi càng tìm thấy những lỗ hổng tồi tệ hơn tưởng tượng.”

Theo GameK

Cậu bé phát hiện lỗ hổng FaceTime có thể được trao thưởng gần 5 tỷ đồng

heo thường lệ, Apple sẽ trao khoản tiền thưởng từ 25.000USD cho tới 200.000USD cho những người đã phát hiện ra các lỗ hổng, tùy vào mức độ nghiêm trọng. Do vậy, có thể cậu bé người Mỹ 14 tuổi đã phát hiện lỗ hổng, có thể nhận được khoản thưởng đụng nóc 200.000USD.

So với các lỗ hổng trong hệ thống phần mềm và thiết bị của Apple mà người ta đã tìm ra, vụ lỗ hổng FaceTime cũng được coi là nghiêm trọng, bởi nó đã khiến Apple phải đối mặt với 2 vụ kiện về quyền riêng tư của người dùng tại Canada và Texas. Không chỉ có thế, lỗ hổng FaceTime còn cho phép người gọi nghe lén và nhìn trộm qua camera ngay cả khi đối phương chưa nhấc máy.

Đây là vụ việc "đáng buồn" mới nhất của Apple, khi sự cố nghe lén bằng FaceTime xảy ra đã khiến nhiều người dùng lo lắng và hoảng sợ mà Thế giới Vi tính đã đưa tin. Thậm chí vụ việc này còn khiến Apple "vướng vào cảnh lao lý" tại Tòa nếu hai vụ kiện về quyền riêng tư nói trên thực sự xảy ra.

Những dòng báo cáo trên Twitter cho người dùng lẫn Apple về lỗ hổng FaceTime của mẹ cậu bé.

Lỗ hổng nghe lén FaceTime này được báo cáo lần đầu bởi một cậu bé 14 tuổi người Mỹ có tên là Grant Thompson, và mẹ của cậu bé đã đăng tải một đoạn tweet lên Twitter thông báo về lỗ hổng này vào ngày 20/1, thậm chí bà còn tag cả Apple vào bài đăng của mình. Tuy nhiên vì một lý do nào đó mà Apple đã không hề có bất cứ phản hồi nào, cho tới khi vụ việc trở nên nghiêm trọng hơn.

Sau đó Apple đã phải nhanh chóng vô hiệu hóa tính năng FaceTime nhóm như là một cách để bảo vệ người dùng cho tới khi một bản vá bảo mật được phát hành trong tuần này.

Liên quan đến vụ việc, trang tin CNBC mới đây đã cho biết, một giám đốc cấp cao của Apple đã tới thăm nhà của cậu bé Thompson ở Arizona vào thứ 6 tuần vừa qua. Có vẻ như họ đã thỏa thuận với nhau về việc cậu bé đã thông báo cho Apple về lỗ hổng, cũng như việc Apple cho Thompson biết, hãng dành cho cậu bé một khoản tiền thưởng vì đã phát hiện ra lỗ hổng bảo mật nghiêm trọng lần này.

"Họ cho biết, Grant đủ điều kiện để nhận được một khoản tiền thưởng vì đã tìm ra lỗ hổng bảo mật. Nếu thằng bé thực sự nhận được một khoản tiền thưởng cho những gì nó tìm được thì đây sẽ là bước đệm giúp ích cho nó trong việc học sau này, đặc biệt là trong lĩnh vực mà thằng bé đang hứng thú, và hy vọng rằng nó sẽ đạt được nhiều hơn nữa trong tương lai." - bà Michele Thompson, mẹ của cậu bé Grant đã nói với CNBC như thế.

Tuy nhiên, không phải ai khi tìm ra lỗ hổng bảo mật của Apple cũng sẽ nhận được tiền thưởng. Bởi chương trình này chỉ giới hạn cho một số người nhất định, cũng như với các lỗ hổng bảo mật cụ thể, ví dụ như các lỗ hổng về iCloud hay việc khai thác bảo mật từ các ứng dụng iOS của Apple. Theo chính sách hiện thời của Apple thì tiền thưởng sẽ không được trao cho bất cứ cá nhân nào phát hiện các lỗ hổng có trong phần mềm của Apple. Vì vậy, việc Thompson tìm ra lỗ hổng trong phần mềm iOS như đã nói, theo quy tắc là không đủ điều kiện nhận thưởng.

Nhưng có lẽ vì mức độ nghiêm trọng của lỗ hổng lần này mà Apple dường như sẽ "phá vỡ quy tắc" của mình. Tuy nhiên, thông tin chi tiết về phần thưởng cho cậu bé Grant hiện vẫn chưa được tiết lộ cụ thể. Theo thường lệ, Apple sẽ trao thưởng khoảng 25.000USD cho tới 200.000 USD cho người đã phát hiện ra các lỗ hổng, tùy vào mức độ nghiêm trọng của nó và trong vụ việc này, cậu bé có thể nhận được mức thưởng cao nhất.

Theo báo mới

D-Link chấp nhận kiểm tra lại toàn bộ hệ thống bảo mật của công ty D-Link đã chấp nhận một vài điều kiện để có thể giải quyết một vụ kiện 2 năm được Ủy ban Thương mại Liên bang Mỹ (FTC) đệ trình, về tính bảo mật không đủ trên các sản phẩm của họ. D-Link chấp nhận yêu cầu về đánh giá bảo mật từ FTC Theo Engadget, để bắt đầu, công ty được yêu cầu...

Bạn thấy bài viết này có hữu ích không?

Có;

Không

Tin liên quan

Chủ đề: phần mềm cậu bé hệ thống lỗ hổng massachusetts. aspen hệ thống phần mềm lexington bill demirkapi trường lexington

Xem thêm Share

Xem nhiều

Lễ đưa tang Kim Sae Ron: Mẹ ruột đi không vững trong giờ phút cuối cùng, dàn sao nghẹn ngào tiễn biệt01:06

Nam Thư bị chỉ trích vì mặc trang phục phản cảm, hớ hênh ngay trên thảm đỏ00:21

B Ray muốn tìm "ghệ mới" nhưng không quên "bóc phốt" người yêu cũ: Nói nhiều, ghen tuông, bào tiền?03:46

Lý Nhã Kỳ sau khi lộ bức ảnh xồ xề gây sốc: "Có thế lực nào đứng sau những trò ác ý này không?"00:33

Đòn giáng của ông Trump vào Ukraine trước ngưỡng cửa đàm phán với Nga09:07

HOT: Đạt G - Cindy Lư hóa cô dâu chú rể trên lễ đường, khóa môi ngọt ngào trước đông đảo khách mời01:26

Khả Như vào vai quỷ dữ, ăn thịt sống trong phim kinh dị02:29

Thách thức nhà vô địch thế giới, võ sĩ Trung Quốc bị đánh sưng mặt02:18

Sau vụ ồn ào Maybach, Lọ Lem flex luôn 16 tuổi kiếm hơn 1 tỷ, tự trả toàn bộ học phí ĐH RMIT02:06

Ngoại hình gây sốc của G-Dragon00:19

Thêm tranh cãi outfit cũng không cứu nổi MV mới nhất của Lisa04:05

Tin đang nóng

Tin mới nhất

Nâng cao và biến đổi hình ảnh của bạn bằng trình chỉnh sửa video trực tuyến CapCut

15:45:56 16/01/2024

Đã đến lúc bỏ lại các công cụ chỉnh sửa cũ và chấp nhận giải pháp thay đổi cuộc chơi. Gặp gỡ Trình chỉnh sửa video trực tuyến CapCut - giải pháp sẽ nâng cao, nâng cao và cách mạng hóa thế giới sáng tạo nội dung trực quan của bạn

Cách đăng Facebook để có nhiều lượt thích và chia sẻ

22:01:27 21/12/2022

Chắc hẳn là ai trong chúng ta cũng luôn muốn các bài đăng trên Facebook có được nhiều lượt thích và chia sẻ. Tuy nhiên, làm thế nào để tối ưu bài đăng thì không phải ai cũng biết

Thêm nhiều bang của Mỹ cấm TikTok

21:03:46 21/12/2022

Louisiana và Tây Virginia là hai bang mới nhất cấm công chức sử dụng TikTok trên thiết bị công do lo ngại Trung Quốc có thể theo dõi người Mỹ và kiểm duyệt nội dung

Microsoft cấm khai thác tiền điện tử trên các dịch vụ đám mây để bảo vệ khách hàng

20:03:41 21/12/2022

Microsoft đã cập nhật thỏa thuận cấm khai thác tiền điện tử trên các dịch vụ trực tuyến của mình. Việc khai thác tiền điện tử trên dịch vụ của Microsoft cần có sự cho phép bằng văn bản của công ty, nhưng cũng chỉ nhằm mục đích thử nghiệ...

Facebook trấn áp hàng loạt công ty phần mềm gián điệp

20:01:24 21/12/2022

Meta (công ty mẹ của Facebook) cho biết họ đã ngăn chặn không dưới 200 hoạt động bí mật, trấn áp hàng loạt công ty phần mềm gián điệp kể từ năm 2017 tại khoảng 70 quốc gia

Meta đối mặt cáo buộc vi phạm các quy tắc chống độc quyền với mức phạt 11,8 tỷ đô

19:01:39 21/12/2022

Ủy ban Châu Âu - cơ quan điều hành của EU cho biết, đã phát hiện Meta vi phạm các quy tắc chống độc quyền của EU bằng cách bóp méo sự cạnh tranh trên thị trường quảng cáo trực tuyến. Meta có thể phải đối mặt với khoản tiền phạt lên tới ...

Không cần thăm dò, Musk nên sớm từ chức CEO Twitter

15:01:33 21/12/2022

Người dùng Twitter, các nhà đầu tư Tesla và chuyên gia phân tích trong ngành đều cho rằng Elon Musk nên sớm từ chức CEO Twitter

Đại lý Việt nhập iPhone 14 kiểu 'bia kèm lạc'

14:01:42 21/12/2022

Muốn nhập được các mẫu bán chạy như iPhone 14 Pro/Pro Max, các chuỗi đại lý bán lẻ ủy quyền của Apple bắt buộc phải nhập thêm hàng loạt phụ kiện đi kèm

Khai trương hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR tại Quần thể Di tích Cố đô Huế

09:38:18 21/12/2022

Sáng 20/12, tại Ngọ Môn, Đại Nội Huế, Trung tâm Bảo tồn Di tích Cố đô Huế đã tổ chức Lễ Khai trương Hệ thống vé điện tử và dịch vụ trải nghiệm thực tế ảo XR

'Dở khóc dở cười' với tính năng trợ giúp người bị tai nạn ôtô của Apple

09:37:54 21/12/2022

Tính năng phát hiện tai nạn ôtô mới ra mắt trên Apple iPhone và Apple Watch sẽ tự động tìm kiếm sự trợ giúp từ bộ phận cấp cứu khi có nguy cơ xảy ra tai nạn