Teen Hacker Menemukan Bug di Perangkat Lunak Sekolah Yang Mengekspos Jutaan Rekaman


Blackboard juga berterima kasih kepada Demirkapi, tetapi berpendapat bahwa berdasarkan analisisnya, tidak ada orang lain yang mengakses catatan itu melalui kerentanan yang ia ungkap. "Kami memuji Bill Demirkapi karena membawa kerentanan ini menjadi perhatian kami dan untuk berusaha menjadi bagian dari solusi untuk meningkatkan keamanan produk kami dan melindungi informasi pribadi klien kami," demikian bunyi pernyataan dari juru bicara Blackboard. "Kami telah membahas beberapa masalah yang menjadi perhatian kami oleh Tn. Demirkapi dan tidak memiliki indikasi bahwa kerentanan ini dieksploitasi atau bahwa informasi pribadi klien apa pun diakses oleh Tn. Demirkapi atau pihak tidak sah lainnya.

Remaja Persisten Lanjut

Demirkapi mengatakan dia mulai menggali kekurangan keamanan kedua perusahaan dari kombinasi kebosanan remaja dan ambisi untuk mempelajari lebih lanjut tentang keamanan dunia maya dan peretasan berbasis web. "Saya memiliki hasrat untuk, saya kira, memecahkan banyak hal," kata Demirkapi. "Saya benar-benar ingin belajar tentang pengujian aplikasi web, jadi saya pikir, yah, betapa kerennya menguji pada sistem penilaian sekolah saya sendiri?"

Demirkapi mencatat bahwa, tidak seperti Ferris Bueller, dia tidak pernah benar-benar mencoba mengubah nilai siswa. yang akan membutuhkan tingkat akses yang lebih dalam ke jaringan Blackboard. Dia, dalam insiden terpisah, mengeksploitasi kelemahan dalam perangkat lunak penerimaan perguruan tinggi untuk mengubah status penerimaannya menjadi "diterima" dalam database Worcester Polytechnic Institute, sebuah perguruan tinggi yang telah dia lamar. Seorang juru bicara perguruan tinggi mengatakan bahwa perubahan saja tidak akan cukup untuk menerimanya.

"Perusahaan-perusahaan ini mengatakan mereka aman, bahwa mereka melakukan audit, tetapi tidak mengambil langkah-langkah yang diperlukan untuk melindungi diri dari ancaman."

Peretas Remaja Bill Demirkapi

Setelah Demirkapi mulai menemukan bug dalam perangkat lunak Blackboard dan Follett, dia mengatakan dia berjuang untuk membuat perusahaan menanggapinya dengan serius. Pada musim dingin 2016, ia awalnya mencoba menghubungi Follett dengan meminta direktur teknologi sekolahnya untuk menghubungi perusahaan atas namanya. Tetapi ketika Demirkapi mengingatnya, dia mengatakan kepadanya bahwa perusahaan telah mengabaikan kekhawatirannya. Dia mengatakan dia kemudian mengirim pesan sendiri ke Blackboard dan Follett melalui email dan halaman kontak Follette. Blackboard awalnya mengucapkan terima kasih atas catatannya dan mengatakan akan menyelidiki, tetapi tidak menindaklanjutinya. Follett mengabaikannya sama sekali.

Jadi beberapa bulan kemudian, Demirkapi mengambil pendekatan yang lebih khas untuk seorang hacker muda. Di antara bug Follett, ia menemukan bahwa dapat menambahkan "sumber daya grup" ke akun sekolahnya, file yang akan tersedia untuk semua pengguna dan, yang lebih penting untuk Demirkapi, yang akan memicu pemberitahuan push dengan nama sumber daya untuk semua orang di sekolahnya distrik yang memiliki aplikasi Aspen Follett diinstal. Demirkapi mengirim pesan bertuliskan "Halo dari Bill Demirkapi :)" kepada ribuan orang tua, guru, dan siswa.

Aksi itu membuatnya diskors dari sekolah selama dua hari. "Sangat tidak dewasa bagi saya untuk melakukan itu, tetapi saya tidak tahu cara lain untuk menghubungi perusahaan yang tidak terbuka untuk dihubungi," kata Demirkapi.

Jika Bukan karena Anak yang Campur Tangan

Selama tahun 2018, setelah Demirkapi meminta bantuan direktur teknologi distrik sekolahnya dan Pusat Koordinasi CERT Carnegie Mellon, ia mengatakan bahwa perusahaan akhirnya mulai mendengarkan. Dengan Blackboard, yang data sensitifnya ia akses dalam proses pengujian keamanan perangkat lunak, ia menyusun kontrak yang menyatakan perusahaan tidak akan menuntutnya, dan sebagai imbalannya ia akan menjaga rahasia kerentanan perusahaan sampai mereka diperbaiki — setelah menolak draft awal di mana Blackboard berusaha mencegahnya memberi tahu siapa pun bahkan setelah patch selesai.

Bahkan sekarang bahwa kedua perusahaan telah memperbaiki kekurangan perangkat lunak yang ditemukan Demirkapi, dia mengatakan bahwa pekerjaannya harus mengkhawatirkan siapa pun yang peduli dengan keamanan data siswa. "Sepertinya tidak ada minat dalam hal ini dari bidang keamanan, karena insentifnya tidak terlalu tinggi," katanya, menunjukkan bahwa baik Blackboard maupun Follett tidak memiliki program karunia bug untuk menghargai para peneliti keamanan yang menemukan dan kerentanan mereka. "Perusahaan-perusahaan ini mengatakan mereka aman, bahwa mereka melakukan audit, tetapi tidak mengambil langkah-langkah yang diperlukan untuk melindungi diri dari ancaman."