Mauro Vecchio

Canada, gli imprevisti della caccia al bug

A Montreal, un giovane studente viene cacciato dal college per aver scoperto una grave falla nel codice di un gestionale universitario. Una società di sviluppo lo accusa di attacco informatico

Roma - Una beffa clamorosa per il giovane Ahmed Al-Khabaz, espulso dal Dawson College di Montreal per aver scoperto una pericolosa falla all'interno di uno dei più diffusi gestionali a livello universitario. Membro del club di sviluppo software nell'ateneo canadese, Al-Khabaz stava lavorando ad una nuova applicazione mobile per garantire a tutti i suoi colleghi un accesso più rapido agli account studenteschi.

Appena ventenne, Al-Khabaz aveva individuato la falla nel software Omnivox, che avrebbe permesso a chiunque di accedere ad una quantità enorme di dati personali appartenenti a oltre 250mila studenti del college canadese. "Ho sentito il dovere morale di segnalarla per risolvere il problema - ha ricordato Al-Khabaz alla stampa locale - Avrei potuto facilmente nascondere la mia identità con un proxy. Ho lasciato perdere perché ero convinto di non aver fatto nulla di sbagliato".

Ringraziato dai vertici universitari, Al-Khabaz decideva di effettuare dei test attraverso Acunetix, un secondo software per scovare vulnerabilità all'interno dei siti web. Giusto un controllo per capire se i suoi dati - e quelli di tutti gli studenti - fossero in salvo. Pochi minuti dopo, una telefonata del presidente di Skytech (società produttrice del software Ominvox) gelava il sangue del giovane informatico.
"Mi ha detto che era la seconda volta che mi individuavano tra i loro log - ha spiegato Al-Khabaz - e che quello che stavo facendo era in realtà un attacco informatico. Mi ha spiegato che sarei potuto finire in prigione per sei mesi o un anno, qualora non avessi firmato un accordo di non divulgazione di informazioni riservate nei loro server". Un portavoce di Skytech ha assicurato che la falla scoperta dal giovane studente è stata risolta.

Mauro Vecchio
Notizie collegate
  • SicurezzaVerizon, l'hacker che non c'eraLe informazioni personali degli abbonati statunitensi pubblicate su Pastebin dopo l'ennesimo attacco cibernetico. Verizon nega la falla e punta il dito contro quegli sbadati del marketing
  • SicurezzaScoperta una falla in iPhoneUna società di sicurezza ha identificato un bug in iPhone che potrebbe essere sfruttato da un utente remoto per rubare informazioni sensibili, come messaggi e email, ed eventualmente fare chiamate
13 Commenti alla Notizia Canada, gli imprevisti della caccia al bug
Ordina
  • L'ateneo ha ringraziato il giovane e poi l'ha espulso dopo i test di straforo e le minacce della Skytech? E' più importante salvare la faccia al grosso fornitore oppure l'avere trovato una falla pericolosa per la privacy di tutti gli studenti?
    Adesso un giovane brillante per una banale leggerezza ha avuto la carriera accademica azzerata e non potrà iscriversi in nessun'altra facoltà. Bel colpo per il sistema educativo americano. Alza la testa sopra la mediocrità e te la tagliano...

    Following this meeting, the fifteen professors in the computer science department were asked to vote on whether to expel Mr. Al-Khabaz, and fourteen voted in favour. Mr. Al-Khabaz argues that the process was flawed because he was never given a chance to explain his side of the story to the faculty. He appealed his expulsion to the academic dean and even director-general Richard Filion. Both denied the appeal, leaving him in academic limbo.

    “I was acing all of my classes, but now I have zeros across the board. I can’t get into any other college because of these grades, and my permanent record shows that I was expelled for unprofessional conduct. I really want this degree, and now I won’t be able to get it. My academic career is completely ruined. In the wrong hands, this breach could have caused a disaster. Students could have been stalked, had their identities stolen, their lockers opened and who knows what else. I found a serious problem, and tried to help fix it. For that I was expelled.”
    Funz
    12975
  • - Scritto da: Funz
    > L'ateneo ha ringraziato il giovane e poi l'ha
    > espulso dopo i test di straforo e le minacce
    > della Skytech? E' più importante salvare la
    > faccia al grosso fornitore oppure l'avere trovato
    > una falla pericolosa per la privacy di tutti gli
    > studenti?
    > Adesso un giovane brillante per una banale
    > leggerezza ha avuto la carriera accademica
    > azzerata e non potrà iscriversi in nessun'altra
    > facoltà. Bel colpo per il sistema educativo
    > americano.

    Canadese, vorrai dire.
    Negli Usa non dovrebbero esserci problemi. Mi sa che là l'istruzione costa di più, però.
    non+autenticato
  • - Scritto da: Leguleio
    > - Scritto da: Funz
    > > L'ateneo ha ringraziato il giovane e poi l'ha
    > > espulso dopo i test di straforo e le minacce
    > > della Skytech? E' più importante salvare la
    > > faccia al grosso fornitore oppure l'avere
    > trovato
    > > una falla pericolosa per la privacy di tutti
    > gli
    > > studenti?
    > > Adesso un giovane brillante per una banale
    > > leggerezza ha avuto la carriera accademica
    > > azzerata e non potrà iscriversi in
    > nessun'altra
    > > facoltà. Bel colpo per il sistema educativo
    > > americano.
    >
    > Canadese, vorrai dire.

    Pignoleria per pignoleria, pure i canadesi sono americani! ;-p

    > Negli Usa non dovrebbero esserci problemi. Mi sa

    Me lo auguro per loro

    > che là l'istruzione costa di più,
    > però.

    E ci sarebbe da scriverci non uno, ma dieci trattati...
    Funz
    12975
  • - Scritto da: Funz
    > - Scritto da: Leguleio
    > > - Scritto da: Funz

    > > Canadese, vorrai dire.
    > Pignoleria per pignoleria, pure i canadesi sono
    > americani!
    > ;-p

    Ah, be allora anche i brasiliani e i cubani sono americani.
    krane
    22544
  • - Scritto da: krane
    > - Scritto da: Funz
    > > - Scritto da: Leguleio
    > > > - Scritto da: Funz
    >
    > > > Canadese, vorrai dire.
    > > Pignoleria per pignoleria, pure i canadesi
    > sono
    > > americani!
    > > ;-p
    >
    > Ah, be allora anche i brasiliani e i cubani sono
    > americani.

    Infatti. Anche i groenlandesi, che pure sono cittadini danesi, anche se sono extra UE.
    non+autenticato
  • - Scritto da: Leguleio
    > - Scritto da: krane
    > > - Scritto da: Funz
    > > > - Scritto da: Leguleio
    > > > > - Scritto da: Funz
    > >
    > > > > Canadese, vorrai dire.
    > > > Pignoleria per pignoleria, pure i
    > canadesi
    > > sono
    > > > americani!
    > > > ;-p
    > >
    > > Ah, be allora anche i brasiliani e i cubani
    > sono
    > > americani.
    >
    > Infatti. Anche i groenlandesi, che pure sono
    > cittadini danesi, anche se sono extra
    > UE.

    Vero, viene fuori che in America ci sono sia i pinguini che gli orsi polari!A bocca aperta
    Funz
    12975
  • "Ho sentito il dovere morale di segnalarla [la falla] per risolvere il problema - ha ricordato Al-Khabaz alla stampa locale - Avrei potuto facilmente nascondere la mia identità con un proxy. Ho lasciato perdere perché ero convinto di non aver fatto nulla di sbagliato"

    vabbé... errori di gioventù...
    il ragazzo non ha ancora capito come funziona il mondo, soprattutto nei paesi occidentali e capitalistici...
    e magari si aspettava anche di essere ringraziato... avrebbe dovuto starsi zitto e sfruttare la falla o, meglio, sabotare tutto per bene...
    non+autenticato
  • - Scritto da: out law
    > "Ho sentito il dovere morale di
    > segnalarla [la falla] per risolvere il problema -
    > ha ricordato Al-Khabaz alla stampa locale - Avrei
    > potuto facilmente nascondere la mia identità con
    > un proxy. Ho lasciato perdere perché ero convinto
    > di non aver fatto nulla di sbagliato"


    > vabbé... errori di gioventù...
    > il ragazzo non ha ancora capito come funziona il
    > mondo, soprattutto nei paesi occidentali e
    > capitalistici...
    > e magari si aspettava anche di essere
    > ringraziato... avrebbe dovuto starsi zitto e
    > sfruttare la falla o, meglio, sabotare tutto
    > per bene...

    Ma va, molto molto meglio venderla.
    krane
    22544
  • Com'era gia' la storiella del dito e della luna?
    Qualcuno se la ricorda?
  • Non all'università, ma sul posto di lavoro, parecchi anni fa.

    Il problema è che, avendolo scoperto su un software in pre-produzione, ho scatenato un semi-disastro, nel senso che "avrebbero potuto vendere il tutto e forse nessuno se ne sarebbe mai accorto" ed invece, così facendo, hanno dovuto rivedere un intera sezione di programma (e parte dell'hardware) per via del protocollo di qualità aziendale.

    Lettera di ammonizione.
    Mi sono licenziato un mesetto dopo, specificando ovviamente cosa pensavo della loro lettera di ammonizione.

    L'azienda in questione sta viaggiando in brutte (anche qualcosina di più) acque, e credo di capire le cause (AKA: dirigenti inadeguati ed incompetenti. Non di certo per i tecnici, bravissimi e competenti).
    non+autenticato
  • MAI fare pentest senza aver in mano una liberatoria firmata
    non+autenticato
  • Vero, ma qui stiamo parlando di un ventenne che capitato su una falla grossa come una casa per caso, ha debitamente comunicato il tutto ed ha effettuato dei test senza fini maliziosi.
    Ci sta la ramanza, ma l'espulsione dall'Università?
  • - Scritto da: r1348
    > Vero, ma qui stiamo parlando di un ventenne che
    > capitato su una falla grossa come una casa per
    > caso, ha debitamente comunicato il tutto ed ha
    > effettuato dei test senza fini
    > maliziosi.
    > Ci sta la ramanza, ma l'espulsione
    > dall'Università?

    Già, casomai l'università avrebbe interrompere i rapporti con Omnivox a causa della scarsa affidabilità dei suoi programmi!
    Pensiero ozioso da bar, nulla di più, ma scommetto che ci sono dietro mazzette di Omnivox, scottata dalla figuraccia e interessata a tenere gente competente fuori dai propri sistemi.
    Izio01
    4027