– Vi har funnet et sikkerhetshull som lar deg overta en hvilken som helst bruker, for eksempel en professors. Det holder at de trykker på en helt vilkårlig lenke, sier Eirik Fosse (24) til VG, som først omtalte saken.
Han er mastergradsstudent i informatikk ved NTNU, og har sammen med en liten gruppe medstudenter hacket sitt eget universitet.
I teorien kunne de ha skapt store vanskeligheter. Med tilgangen de fikk kunne de blant annet ha endret studenters karakterer, de kunne ha slettet eller endret medstudenters oppgaver og de fikk tilgang på sensitive dokumenter.
Slik klarte de å hacke seg inn
Studentene var avhengig av å lure målet til å trykke på feil lenke, litt som i et tradisjonelt phishing-angrep (e-postsvindel for å samle inn personlige opplysninger). Blackboard-plattformen, som er læringsplattformen til studenter og lærere ved NTNU, er imidlertid mye mer sårbar. Der kan du sende lenker mottakeren må åpne – for eksempel til en oppgave du har skrevet.
– Det var utfordrende å komme oss gjennom sikkerheten, men på ingen måte umulig, sier Sondre Hjetland (23) til VG.
- Her kan du lese mer om selve hackingen på guttas egen blogg.
Gruppa med studenter falt derimot ikke for fristelsen, og sa ifra til Blackboard, som har tettet sikkerhetshullet.
Motivasjonen var heller aldri å bruke sikkerhetshullet til egen vinning.
– Vi kjedet oss rett og slett. Vi sitter sammen på masterlesesalen, og det er greit med avveksling fra lange dager. I tillegg er det jo gøy å drive med, sier Michael McMillan (24).
At hullet de fant likevel ikke var tettet skikkelig er kritikkverdig, mener studentene.
Takknemlig for at de varslet
Sikkerhetshullet gir ikke tilgang til å endre standpunktkarakteren din, men i mange fag er det endelige resultatet helt eller delvis basert på resultatene som lagres på Blackboard.
Plattformen brukes av en rekke utdanningsinstitusjoner verden over, og skal være den største i USA.
Seksjonsleder for digital sikkerhet på NTNU, Stian Husemoen, skryter av studentenes evner, men sier universitetet foretrekker at ingen tester systemenes sårbarheter på egen hånd.
– Men vi setter stor pris på at studentene varslet oss raskt da de kom over den. De har opptrådt både ryddig og spilt med åpne kort, sier han til VG.
Til NRK sier Eirik Fosse at alle med en del interesse for systemsikkerhet kan finne sikkerhetshullet.
– Man må jo være litt tålmodig, og vi prøvde ganske mye forskjellig før vi lyktes. Flere andre som går på informatikklinja her er nok kapable til å få til det samme, sier han.