Администрация OPRFHS допустила грубейшую ошибку, доказав свою полную некомпетентность в сфере кибербезопасности.
На прошлой неделе родители учеников старшей школы Oak Park and River Forest (OPRFHS) в штате Иллинойс получили письмо от школьной администрации, в котором говорилось, что во время аудита кибербезопасности «из-за неожиданной ошибки поставщика система сбросила пароль каждого ученика, не давая им возможности войти в свой Google-аккаунт».
«Чтобы исправить это, мы повторно сбросим пароль вашего ребёнка на "Ch@ngeme!", чтобы он снова мог получить доступ к своему Google-аккаунту. Изменение пароля произойдет сегодня в 16:00», — написала школа, в которой учится около 3000 учеников, в письме родителям от 22 июня. «Мы настоятельно рекомендуем вашему ребенку как можно скорее изменить этот пароль на свой собственный и уникальный».
Нетрудно догадаться, что выдача всем учащимся одинакового пароля — явно не тот способ, которым организация должна проводить принудительный сброс учётных данных. Обычно эта процедура подразумевает выход пользователей из системы с запросом на изменение пароля при следующей попытке входа.
Мэннинг Петерсон, мать одного из учеников OPRFHS, ответила, что «это ужасно небезопасно», а сама школьная администрация таким образом обрела каждого ученика на вероятность быть взломанным, так как абсолютно все семьи учащихся получили подобное письмо. Петерсон также добавила, что после получения письма она попыталась сбросить пароль своего сына, но ей не удалось этого сделать.
«Мой сын и я смогли войти в несколько аккаунтов Google его одноклассников, что дало нам доступ ко всем электронным письмам, работам, классным заданиям — ко всему, что сохранено на Google Drive (документы, таблицы и презентации)», — написала мать ребёнка, продемонстрировав базовые пентестерские навыки там, где делать этого явно было не нужно.
На следующий день школьная администрация осознала свою ошибку и сообщила родителям в письме, что отдел образовательных технологий на выходных снова инициирует процесс смены учётных данных. На этот раз каждому ученику пообещали свой собственный уникальный пароль.
С учётом тех сложностей, с которыми столкнулись родители учащихся в процессе смены пароля 22 июня, можно предположить, что мало кому всё же удалось изменить его. Поэтому как минимум несколько дней ученики могли беспрепятственно заходить в аккаунты друг друга.
Хорошо, если там не было таких конфиденциальных данных, таких как фотографии, видеозаписи, личные заметки. А если были? В старшей школе у детей вполне себе могут быть свои секреты, которые лучше не раскрывать всем подряд.
Грег Джонсон, генеральный директор OPRFHS, и его заместительница Линда Паркер — не ответили на многочисленные запросы о комментариях, отправленных местными СМИ по электронной почте.
Источник: securitylab