En el Defcon 2019, Bill Demirkapi, de 18
años, presentó sus hallazgos después de tres años de investigación sobre un
software implementado en su escuela. Descubrió que una falla de seguridad
en el software podría permitir que un hacker obtenga acceso a los registros de
5 millones de estudiantes.
Encontró vulnerabilidades en dos softwares desarrollados
por Blackboard y Follett que se implementaron en su escuela. El error en
el software desarrollado por Blackboard hizo que los registros como el
historial de vacunas, el saldo de la cafetería, las calificaciones de los
estudiantes, las fotos y los hashes de contraseñas fueran vulnerables a los
ataques.
Demirkapi reveló las fallas
a las empresas tecnológicas detrás del software y las fallas fueron reparadas
por ambas compañías. Tanto Blackboard como Follett confirmaron que las
vulnerabilidades en su software no habían sido explotadas antes y que no se han
filtrado registros.
Descubrimientos
El
hacker de 18 años comenzó a explorar el software cuando estaba en décimo grado. Lo
hizo por aburrimiento y curiosidad por la ciberseguridad. Demirkapi
dice: “Creo que me apasiona hackear cosas. Realmente quería aprender sobre
las pruebas de aplicaciones web, así que pensé, bueno, ¿qué tan bueno sería
probar en el sistema de calificación de mi propia escuela?
Además de encontrar fallas en el software de su
escuela, en un incidente separado, Demirkapi también usó su conocimiento
técnico para explotar un software de admisión a la universidad desarrollado por
Follet. Cambió su estado de admisión a "Aceptado".
Demirkapi dice que después de que descubrió errores
en el software de la escuela y trató de contactar a las empresas detrás de él,
no lo tomaron en serio e ignoraron sus afirmaciones. Para llamar la
atención, adoptó un enfoque típico de “hacker
informático” y creó un recurso grupal en la cuenta de su escuela en el
software de Follet. Envió una notificación push a todos los que usan el
software en su escuela en la que Demirkapi escribió: “Hola, Bill Demirkapi 🙂”
Fue suspendido de la escuela por dos días después
del incidente.
Curiosamente, Demirkapi incluso pensó en solicitar
una vacante como nuevo jefe de seguridad de la información en Blackboard, pero
luego abandonó la idea y solicitó unirse a la universidad.
¿Te gustaría aprender hacking ético? Entonces puedes
comenzar tomando este excelente curso: 👉Curso Completo de Hacking Ético👈
¿Qué opinas de esta noticia? Por favor compártela en
las redes sociales.