Hopp til innhold

Studenter hacket eget universitet – kunne endre karakterene

En gjeng masterstudenter spiste lunsj da de oppdaget et sikkerhetshull i NTNUs læringsplattform. Her fikk de full kontroll over professorenes brukerkontoer ved universitetet.

Gløshaugen, NTNU

Med den tilgangen studentene fikk via hackingen, kunne de ha endret medstudenters karakterer og oppgaver.

Foto: Bent Lindsetmo / NRK

– Vi har funnet et sikkerhetshull som lar deg overta en hvilken som helst bruker, for eksempel en professors. Det holder at de trykker på en helt vilkårlig lenke, sier Eirik Fosse (24) til VG, som først omtalte saken.

Han er mastergradsstudent i informatikk ved NTNU, og har sammen med en liten gruppe medstudenter hacket sitt eget universitet.

I teorien kunne de ha skapt store vanskeligheter. Med tilgangen de fikk kunne de blant annet ha endret studenters karakterer, de kunne ha slettet eller endret medstudenters oppgaver og de fikk tilgang på sensitive dokumenter.

Eksperter bekymret: Hacking har blitt for lett

Eirik Fosse, Sondre Hjetland og Michael McMillan

Eirik Fosse, Sondre Hjetland og Michael McMillan er alle studenter ved NTNU i Trondheim. Sammen klarte de å hacke seg inn på læringsplattformen som kalles Blackboard.

Foto: Privat

Slik klarte de å hacke seg inn

Studentene var avhengig av å lure målet til å trykke på feil lenke, litt som i et tradisjonelt phishing-angrep (e-postsvindel for å samle inn personlige opplysninger). Blackboard-plattformen, som er læringsplattformen til studenter og lærere ved NTNU, er imidlertid mye mer sårbar. Der kan du sende lenker mottakeren må åpne – for eksempel til en oppgave du har skrevet.

– Det var utfordrende å komme oss gjennom sikkerheten, men på ingen måte umulig, sier Sondre Hjetland (23) til VG.

  • Her kan du lese mer om selve hackingen på guttas egen blogg.

Gruppa med studenter falt derimot ikke for fristelsen, og sa ifra til Blackboard, som har tettet sikkerhetshullet.

Motivasjonen var heller aldri å bruke sikkerhetshullet til egen vinning.

– Vi kjedet oss rett og slett. Vi sitter sammen på masterlesesalen, og det er greit med avveksling fra lange dager. I tillegg er det jo gøy å drive med, sier Michael McMillan (24).

At hullet de fant likevel ikke var tettet skikkelig er kritikkverdig, mener studentene.

Slik sikrer du deg mot hacking

Takknemlig for at de varslet

Sikkerhetshullet gir ikke tilgang til å endre standpunktkarakteren din, men i mange fag er det endelige resultatet helt eller delvis basert på resultatene som lagres på Blackboard.

Plattformen brukes av en rekke utdanningsinstitusjoner verden over, og skal være den største i USA.

Seksjonsleder for digital sikkerhet på NTNU, Stian Husemoen, skryter av studentenes evner, men sier universitetet foretrekker at ingen tester systemenes sårbarheter på egen hånd.

– Men vi setter stor pris på at studentene varslet oss raskt da de kom over den. De har opptrådt både ryddig og spilt med åpne kort, sier han til VG.

Til NRK sier Eirik Fosse at alle med en del interesse for systemsikkerhet kan finne sikkerhetshullet.

– Man må jo være litt tålmodig, og vi prøvde ganske mye forskjellig før vi lyktes. Flere andre som går på informatikklinja her er nok kapable til å få til det samme, sier han.