Kunne endre egne karakterer

Det melder VG tirsdag ettermiddag. Det var en gjeng med masterstudenter som oppdaget sikkerhetshullet og meldte fra til Blackboard, som nå har tettet dette. Studentene hadde blant annet mulighet til å endre karakterer, slette eller endre egne og andres innleveringer, få tilgang til sensitive dokumenter, sende e-poster fra kontoen og spre skadelig programvare.

Mastergradsstudent i informatikk ved NTNU, Eirik Fosse forteller til avisen at de fikk tilgang, som om de hadde hatt brukernavn og passord, fra for eksempel til en professor.

– Vi har funnet et sikkerhetshull som lar deg overta en hvilken som helst bruker, for eksempel en professors. Det holder at de trykker på en helt vilkårlig lenke. Tilgangen er den samme som om vi hadde hatt brukernavn og passord, sier han til VG.

Litt som phishing

Måten gruppa utførte hacker-angrepet på minner litt om typiske phising-angrep, der man lurer målet til å trykke på feil lenke. Blackboard er imidlertid mye mer sårbar ettersom du kan sende lenker som mottakeren må åpne. For eksempel en innlevering eller oppgave du har skrevet. Lenken som studentene brukte kan dermed kjøre den ondsinnede programvaren i nettleseren din samtidig som offeret blir ledet til en helt legitim innlevering. På denne måten blir ikke angrepet synlig for offeret.

– Det var utfordrende å komme oss gjennom sikkerheten, men på ingen måte umulig. I og med at det vil være nesten usynlig kan vi ikke utelukke at noen har gjennomført et slikt angrep tidligere, sier Sondre Hjetland, som også var med på hackingen, til avisen.

Ingen av studentene utnyttet sikkerthetshullet til egen vinning.