Home / Mundo /

El chico que protegió a 250.000 estudiantes y que fue expulsado

Patrocinado:

 

Al-Khabaz estaba trabajando en una aplicación móvil para permitir que otros estudiantes accedieran de manera mucho más fácil a sus cuentas universitarias cuando descubrió, junto a su compañero de proyecto Ovidiu Mija, un “sloppy coding” en el sistema de redes educativas de Quebec que comprometía la seguridad de información de más de 250.000 estudiantes. Esta vulnerabilidad permitía que cualquier persona con conocimientos básicos pudiera acceder a los datos personales de cualquier estudiante en el sistema y obtener datos como direcciones de casa y números de teléfono. Incluso contraseñas de casilleros.

El chico que protegió a 250.000 estudiantes y que fue expulsado

El chico que protegió a 250.000 estudiantes y que fue expulsado.

«Sentí que mi deber moral era llamar la atención del college y ayudarlos a corregirlo, que fue lo que hice. Pudo haber sido fácil esconder mi identidad detrás de un proxy. Pero no lo hice porque yo sabía que no estaba haciendo nada malo».

Al-Khabaz reportó el problema al Director de Información y Tecnología y fue a partir de allí que los problemas comenzaron a llegar. Dos días después, luego de haber sido felicitado por su descubrimiento, decidió correr un software llamado Acunetix con el fin de examinar vulnerabilidades en websites. El propósito: asegurar que los problemas que él y su compañero habían identificado fueron corregidos. Pero unos minutos más tarde de que el software comenzara la inspección, el teléfono de su casa sonó.

«Era Edouard Taza, el presidente de Slytech. Él me dijo que esta era la segunda vez que ellos me habían visto en sus logs, y que lo que estaba haciendo era un ciberataque. Me disculpé, repetidamente, y le expliqué que yo lo único que quería era saber si la vulnerabilidad que había revelado estaba corregida. Él sin embargo me dijo que yo podía ir a la cárcel por seis o doce meses y que si no estaba de acuerdo y firmaba un pacto de confidencialidad llamaría a la RCMP para que me arrestaran. Finalmente firmé el acuerdo».

El acuerdo impedía a Al-Khabaz revelar cualquier información confidencial encontrada en los servidores de Skytech, o cualquier información relacionada a la empresa, sus servidores o cómo se accedía e estos. El acuerdo además impedía a Al-Khabaz revelar la existencia del documento de confidencialidad y especificaba que si llegaba a ser público sufriría demandas legales.

Taza reconoció a Ethan Coz de National Post que le mencionó a Al-Khabaz las consecuencias policiales y legales, pero negó haberlo amenazado y sugirió más bien que el estudiante había malinterpretado sus comentarios.

«Todas las compañías de software, incluyendo a Google y Microsoft, tienen fallas en sus aplicaciones», dijo. «Estos dos estudiantes descubrieron una sutil falla de seguridad, que podría ser explotada por otros. Nosotros actuamos inmediatamente para solucionar el problema y fuimos capaces de hacer eso antes de que cualquiera pudiese acceder a información privada».

Taza comentó que estaba agradecido por el trabajo de los dos estudiantes, pero también mencionó que Al-Khabaz pasó la línea cuando corrió un software dentro de sus sistemas.

«Este tipo de software no puede ser usado sin el permiso del administrador, porque puede causar una caída del sistema. Pero está claro para mí que él no tenía ninguna intención maliciosa. Simplemente cometió un error».

La administración del Dawson College, sin embargo, vio un escenario diferente y procedió a expulsar a Al-Khabaz por un “serio problema de conducta profesional”.

«Fui llamado a un encuentro con el co-coordinador de mi programa, Ken Fogel, y el decano de Computer Science, Dianne Gauvin», dijo Al-Khabaz. «Ellos me formularon varias preguntas, la mayoría de ellas quiénes sabía los problemas y a quiénes les había contado. Tuve la sensación de que su principal objetivo entonces era encubrir el problema».

Después de este encuentro, quince profesores de la facultad de Computer Science fueron consultados sobre la expulsión de Al-Khabaz. Catorce de ellos votaron a favor. Él confiesa que el proceso fue injusto porque nunca le dieron la oportunidad de explicar su lado de la historia. Apeló su expulsión pero le fue negada.

«Yo asistía a todas mis clases, pero ahora tengo ceros en todos los ámbitos. No puedo entrar a cualquier otro college a causa de estas notas, y mi registro además señala que fui expulsado por conducta poco profesional. Yo quiero seguir esta carrera, pero ahora no seré capaz de terminarla. Mi carrera académica está completamente arruinada. En las manos equivocadas, esa falla del sistema pudo haber causado un desastre. Los estudiantes podrían haber sido acosados, sufrir robos de identidad o de casilleros, y quién sabe más. Encontré un problema serio, y traté de ayudar a solucionarlo. Por eso me expulsaron».

Fuente: La Mula

 
 

  • yo

    Hackealos y a la csm.