В ходе работы над мобильным приложением, предназначенным для облегчения работы студентов со своими личными данными на портале ВУЗа, Ахмед обнаружил опасную уязвимость, эксплуатация которой позволяла удаленно получить доступ к личным данным 250 тысяч учащихся, в том числе к номеру телефона, домашнему адресу, номеру социального страхования и даже расписанию занятий.
Как позже пояснил сам студент, он посчитал своим "моральным долгом" сообщить о найденной бреши руководству учебного заведения. При этом, как сообщается, угроза существовала из-за того, что создатели уязвимого web-приложения "Omnivox" небрежно отнеслись к процессу разработки и воспользоваться ею мог любой обладатель базовых компьютерных знаний.
После того, как информация об уязвимости была передана директору колледжа Франсуа Парадизу (Francois Paradis), к работам по устранению бреши подключились сотрудники компании Skytech, являющейся автором указанного программного обеспечения.
Некоторое время спустя Ахмед решил проверить была ли брешь устранена. В этих целях он использовал сканер уязвимостей "Acunetix Web Vulnerability Scanner", после чего ему позвонили из Skytech и потребовали прекратить атаку.
"Я неоднократно извинился и пояснил, что я и есть тот, кто обнаружил брешь, - сообщил студент. – Мне сказали, что подобные действия грозят тюремным заключением сроком от 6 до 12 месяцев и обязали подписать соглашение о неразглашении. И я его подписал".
Позже студента отчислили голосованием преподавательского состава ВУЗа. 14 из 15 профессоров факультета проголосовали за отчисление Ахмеда по причине "грубого нарушения профессиональной этики".
SecurityLab.ru