Благими намерениями вымощена дорога… из колледжа

1291367228_00-skytech_-_rocket_science__planet-clhr107-web-20102

Студента выгнали из колледжа за обнаруженную уязвимость.

Странная история приключилась недавно в Монреале. Этот случай довольно наглядно иллюстрирует, что любознательным и законопослушным хакером быть чревато не только в развивающихся странах (где тебя скорее арестуют, чем скажут спасибо за найденную дырку), но и на демократичном Западе.

Студент колледжа Доусона Ахмед аль-Хабаз явно не предполагал, что делает что-то плохое, когда начинал работу над мобильным приложением. Приложение это было призвано облегчить жизнь студентам, упростив для них работу на учебном портале. Упомянутый портал базировался на системе Omnivox, принадлежащей компании Skytech. Данной системой пользуются практически все высшие учебные заведения Квебека. В ходе работы над своим приложением Ахмед запустил сканер уязвимостей Acunetix и обнаружил в Omnivox дырку. По всему выходило, что любой мало-мальски подкованный человек сможет получить доступ к профилю любого студента в системе (включая приватные данные, такие как номер социального страхования, домашний адрес, номер телефона, расписание занятий и так далее). Ахмед тут же сообщил о найденной уязвимости руководству колледжа, по-прежнему даже не догадываясь, что мог сделать что-то «не то».

Сначала все шло хорошо. IT-директор колледжа пригласил на встречу Ахмеда и его друга (они работали над проектом вдвоем), пообещал совместно со специалистами Skytech закрыть дырку и поблагодарил программистов за бдительность. Через пару дней аль-Хабаз решил проверить, устранена ли уязвимость, и вновь запустил сканер. Практически сразу зазвонил телефон. Удивленному Ахмеду звонил лично директор компании Skytech и уже совсем не с благодарностями. Он заявил, что уже второй раз наблюдает активность Ахмеда и назвал его действия кибератакой. Программист в ответ попытался объяснить, что это именно он нашел уязвимость пару дней назад и теперь лишь проверял, закрыта ли она, однако директор не хотел ничего слушать. Он сообщил, что за подобные действия дают от полугода до года тюрьмы, и велел студенту немедленно приехать в офис компании и подписать бумагу о неразглашении. Шокированный аль-Хэбаз так и поступил. Ему было запрещено разглашать не только любую информацию о найденной уязвимости, но даже сам факт наличия этого документа.

Вскоре о случившемся узнало руководство колледжа, как говорится — шила в мешке не утаишь, несмотря на любые соглашения. Профессора думали недолго и вскоре уже начали процедуру отчисления Ахмеда из-за «серьезного нарушения профессиональной этики». Из пятнадцати профессоров с факультета компьютерных наук за отчисление аль-Хабаза проголосовали четырнадцать человек.

Теперь, когда вся эта история все же выплыла наружу, руководство Skytech пытается оправдываться. В компании свято уверены, что использовать сканер уязвимостей Ахмед не имел права. Такие программы, по их мнению, можно применять, лишь имея предварительное разрешение владельца сервера. Разумеется, студент с этим не согласен. И хотя он уже обелил свое имя, рассказав эту историю СМИ, места в колледже это ему, похоже, уже не вернет.