Dawson College i Montreal, Canada, utviste nylig en student fordi han testet et IT-system for å se om en sårbarhet han selv hadde oppdaget og varslet colleget om, var blitt fjernet. (Bilde: Wikipedia)

Utvist etter å ha varslet om sårbarhet

Student oppdaget at utakk er verdens lønn.

Ahmed Al-Khabaz, en 20 år gammel informatikkstudent ved Dawson College i Montreal, Canada, har blitt utvist fra skolen. Årsaken er at helt uten å skjule hvem han var, testet om en programvaresårbarhet han selv hadde oppdaget og varslet skolen om, var blitt fjernet. Dette skriver National Post.

De fleste collegene i Quebec bruker den samme, webbaserte programvaren – Omnivox – som studentregister. Til sammen skal 250 000 studenter være registrert. Under utviklingen av en mobilapplikasjon som skulle gi sin personlige collegekonto, oppdaget Al-Khabaz og en medstudent en sårbarhet som ga enkel og bortimot ubegrenset tilgang til informasjonen colleget hadde lagret om alle studentene, inkludert personnummer og hjemadresse.

Al-Khabaz varslet IT-avdelingen, som i slutten av oktober i fjor lovet at leverandøren, Skytech, ville rette feilen umiddelbart. Al-Khabaz og medstudenten skal ha fått ros for å ha varslet om sårbarheten.

Tabben

Et par dager senere ville Al-Khabaz teste om sårbarheten var blitt fjernet. For å gjøre dette, brukte han verktøyet Acunetix. Noen får minutter senere ble han oppringt av sjefen i Skytech, Edouard Taza, som ifølge Al-Khabaz anklaget ham for IT-angrep.

Etter å ha forklart at det var ham som opprinnelig hadde varslet om sårbarheten og hensikten med testen, måtte Al-Khabaz velge mellom å undertegne en taushetserklæring eller å bli anmeldt til politiet. Han valgte det førstnevnte alternativet, som innebar at han ikke fikk snakke om noen vedrørende saken, inkludert selve taushetserklæringen.

Gjorde en feil

Overfor National Post nekter Taza for at han har kommet med trusler. Han sier at han er fornøyd med at studentene varslet om feilen, men ikke med testen Al-Khabaz gjorde i etterkant.

– Denne typen programvare (Acunetix, red. anm) bør aldri brukes uten forhåndstillatelser fra systemadministratoren, fordi den kan få systemet til å krasje. Han burde ha visst bedre enn å bruke det uten tillatelse, men det er helt opplagt for meg at dette ikke ble gjort med onde hensikter. Han gjorde ganske enkelt en feil, sier Taza.

Utvist

Med dette kunne saken trolig ha vært over, men Dawson College valgte senere å utvise Al-Khabaz for hendelsen. Fjorten av femten professorer skal ha stemt for utvisningen, uten at Al-Khabaz hadde fått mulighet til forklare seg for andre enn sine to veiledere.

– Jeg fant et alvorlig problem og forsøkte å bidra til å rette det. Til gjengjeld ble jeg utvist, sier Al-Khabaz til National Post.

Han får støtte fra Dawson Student Union.

– Dawson har sviktet en briljant student for å beskytte Skytech-ledelsen, sier Morgan Crockett, som er direktør for interne forhold i Dawson Student Union, til National Post.

– Det er en parodi at Ahmads akademiske framtid har blitt kompromittert, bare for at Dawson og Skytech kan redde ansikt. Dersom de hadde hatt noen som helst anstendighet, ville de ha gjeninnsatt Ahmad inn i informatikkprogrammet, tilbakebetalt studiegjelden han har pådratt seg som følge av utvisningen, og gitt ham en fullt offentlig unnskyldning, sier Crockett.

Dawson College har ikke villet uttale seg om saken og viser til regler som hindrer skolen i å snakke om enkeltstudenter.

    Les også:

Til toppen