Student deckt Sicherheitslücke auf – und wird exmatrikuliert

SicherheitSicherheitsmanagement

Eine von Ahmed Al-Khabaz aufgedeckte Schwachstelle stellte seinen Angaben zufolge ein Risiko für personenbezogene Daten von 250.000 Studenten dar. Die von ihm besuchte Hochschule gratulierte ihm zunächst zu seiner Entdeckung, schloss ihn dann aber aus. Das kanadische College dementiert die Darstellung des Studenten.

Der 20-jährige Ahmed Al-Khabaz studierte Informatik am Dawson College in Montreal. Seiner Darstellung in der kanadischen Tageszeitung National Post zufolge entdeckte er eine Schwachstelle in der Software Omnivox, als er an einer Smartphone-App arbeitete, die Studenten einen einfacheren Zugriff auf ihre Uni-Konten bieten sollte. Er meldete der Verwaltung die “nachlässige Programmierung”.

Die laut Al-Khabaz leicht auszunutzende Sicherheitslücke betraf die personenbezogene Daten von über 250.000 Studenten, da Omnivox von vielen kanadischen Hochschulen verwendet wird, und erlaubte relativ einfach Zugriff auf Sozialversicherungsnummer, Wohnadresse, Telefonnummer und Stundenplan und andere Daten. Ein Vertreter der Hochschule habe Al-Khabaz und seinen Kommilitonen Ovidiu Mija zunächst zu ihrer Arbeit beglückwünscht und sich für die Meldung bedankte sowie eine umgehende Lösung des Problems durch den Omnivox-Hersteller Skytech versprochen.

Zwei Tage später versuchte Al-Khabaz sich mit dem Softwaretool Acunetix zu versichern, dass die Schwachstelle tatsächlich behoben war. Wenige Minuten später habe er einen Anruf von Edouard Taza, Präsidenten von Skytech erhalten, der ihn eines Cyberangriffs beschuldigte, mit einer Gefängnisstrafe für sein Handeln bedrohte und die Unterzeichnung einer Geheimhaltungsvereinbarung verlangte.

Obwohl der Student diese Vereinbarung unterschrieb, habe ihn das Dawson College aus, seine Noten annulliert und seinen Einspruch zurückgewiesen. Eine Studentenvereinigung der Hochschule fordert die Rücknahme der Maßnahmen mit einer Petition. Sie erhielt bereits 5000 Unterschriften. Al-Khabaz wurden inzwischen sieben Stellen sowie ein Stipendium angeboten.

Das College erklärt auf seiner Website, dass es zu seiner Entscheidung steht. Die in dem Artikel in den National Post genannten Gründen für die Exmatrikulation seien falsch. Allerdings gebe man grundsätzlich keine öffentlichen Stellungnahmen zu persönlichen Verhältnissen der Studenten ab. Die Informatik-Fakultät erklärt zusätzlich, von Studenten werde ein “dem Beruf angemessenes Verhalten erwartet” – was sich auf alle Aspekte des Studiums beziehe, und sowohl in den Klassenräume, den Labors, während der Praktika sowie das Verhältnis zu den Kommilitonen, den Mitarbeitern und Kunden beziehe.