Chama-se Bill Demirkapi e é um adolescente normal, no entanto, o jovem de 18 anos mantinha em segredo o seu passatempo preferido: hackear o software da sua escola. A atividade era realizada após o horário escolar e durou os três anos em que o jovem frequentou o ensino secundário.
As interfaces de dois softwares das empresas de tecnologia Blackboard e Follett, que têm esse software em várias escolas, foram o alvo dos seus ataques. Em ambos os casos, o jovem encontrou riscos graves, que permitiriam a um hacker como ele obter um amplo acesso aos dados dos alunos. No caso da Blackboard, Demirkapi encontrou cinco milhões de registos vulneráveis dos alunos e dos professores de cinco mil escolas, que incluíam notas de provas, registos de justificações de faltas, saldos do refeitório, horários, senhas criptografadas e fotos.
Demirkapi indica que, se um adolescente de 16 anos, motivado apenas por sua própria curiosidade, conseguiu aceder facilmente aos bancos de dados corporativos, então há erros graves dentro do sistema de segurança destes softwares. “Eu tinha acesso a praticamente qualquer coisa que a escola possuía”, diz o estudante. “O nível da segurança cibernética no software educacional é muito mau, e poucas pessoas estão a prestar atenção a isso.”
De acordo com a WIRED, o vice-presidente sénior de tecnologia da Follett, George Gatsis, agradeceu Demirkapi por ajudar a empresa a identificar os seus bugs e alegou que foram corrigidos em julho de 2018. “Ficamos felizes por Bill estar disposto a trabalhar connosco”, diz Gatsis. Mas o responsável também afirmou que mesmo com as falhas de segurança, o jovem nunca deveria ter podido acedido aos dados dos outros alunos, somente aos seus.
A Blackboard também agradeceu os esforços do jovem hacker. “Elogiamos Bill Demirkapi por nos ter chamado a atenção para estas vulnerabilidades e por nos forçar a pensar numa solução para melhorar a segurança dos nossos produtos e proteger as informações pessoais dos nossos clientes”, diz em comunicado a Blackboard. “Resolvemos vários problemas que foram trazidos à nossa atenção por Demirkapi, mas não temos nenhuma indicação de que estas vulnerabilidades foram exploradas por demais invasores. Ou que as informações pessoais dos clientes foram acedidas tanto por Demirkapi, quanto por qualquer parte não autorizada.”