大学のシステムに脆弱性を発見し報告した学生が退学処分に

2013.01.25 12:00
  • このエントリーをはてなブックマークに追加

130121hamed02_small.jpg


正直者がバカを見る...

モントリオールのドーソン大学(Dawson College)が、大学のオンライン学生ディレクトリに脆弱性を見つけて報告してきた学生をなんだかんだいちゃもんつけて退学処分にしていたことがわかりました。

退学になったのはコンピュータサイエンス専攻のアーメド・アルカバーズ(Ahmed Al-Khabaz)君。

アルカバーズ君は大学のデータに携帯からアクセスできるモバイルアプリを友だちと一緒に開発してたんですが、その作業の途中で、学生の個人情報リークに繋がる恐れのある極めて深刻な脆弱性(本人は「ずさんなコーディング」と呼んでいる)があることに気づきました。

リスクに晒されてる個人情報はどういうものかと申しますと、「社会保険番号(SIN)、自宅住所、講義スケジュールなど...基本的に大学側が管理する学生情報すべて」(アーメド・アルカバーズ君)。

こりゃえらいこっちゃ...と思ってアルカバーズ君はさっそく大学情報サービス&テクノロジー部門ディレクターに問題の報告を入れます。面談はスムーズにゆき、じゃあ、問題のソフトを開発している会社「Skytech」にすぐ対処させるね、ってことでその場は収まりました。

ところが...

何週間も音沙汰なかったので不審に思ったアルカバーズ君は、その後ちゃんと「Acunetix」というプログラムを使って修正パッチ出してくれたのかどうか確認を入れます。それが間違いだった...。

すぐSkytech社のトップから電話がかかってきて、おたくが我が社のシステム内でうろちょろしてるのが見つかったのはここ数日でもう2度目だ、これは重大な侵害行為に当たる、うちのシステムをチェックするのにおたくが使ったソフトウェアは使いようによっては深刻な問題を引き起こすものなんだよ、なぜならシステム管理者に事前通告もなく使われていたのだからね、と、こう言ってきたんですね。

アルカバーズ君は謝り、本件について口外しないことを定めた守秘義務契約(NDA)にサインします。が、それで事は終わりではなかった...

アルカバーズ君の行動に悪意はなかったという点はSkytech側の人たちも認めています。なのにドーソン大学事務局は「アンプロフェッショナルな素行」で彼を退学処分にするかどうか決議にかけ、教授15人のうち14人までが「退学処分にし今学期の成績をすべてゼロにする」処分に賛成票を投じてしまうのです。この決議の間、アルカバーズ君本人には一切弁明の機会は与えられませんでした。

というわけでアルカバーズ君、20歳にしてゼロの成績で大学を退学になってしまった、というわけですね。「アンプロフェッショナルな素行」という烙印まで押されて。そりゃ言葉は過ぎたかもしれないけど全部よかれと思ってやったことなのに...そこまでするか...。

この気の毒な話の残りはNational Postで読めます(英語)。力になってあげたい人は、オンラインで「アーメド・アルカバーズ君を直ちに復学させ、不当な退学処分で生じた損害を賠償し、公に謝罪することをドーソン大学に求める」請願に署名できますよ(初日だけで3万4000クリック、インタビュー22件、署名5000件、仕事のオファー7件、奨学金のオファーが1件きたそうですけど、大学側からはまだなしのつぶてらしい...)。


National Post via Techmeme
Photo courtesy of Martin Reisch

Kyle Wagner(原文/satomi)

  • このエントリーをはてなブックマークに追加
  • ビューティフルセキュリティ (THEORY/IN/PRACTICE)
  • オライリージャパン
特別企画

予想外にいい。イオンの5インチ狭額縁LTEスマホは格安スマホの本命かも

PR

びっくりした。 いやホント、その一言なんです。正直言うと「SIMフリーの格安スマホ」というジャンルのスマホは「まぁ、使えるよねー」というものだと思っていたんです。 「IDOL 2 S」、これもきっと...
続きを読む»