Après qu’un audit de cybersécurité ait réinitialisé par erreur le mot de passe de tout le monde, un lycée a changé le mot de passe de chaque élève en « Ch@ngeme! » donnant à chaque étudiant la possibilité de pirater le compte de n’importe quel autre étudiant, selon les e-mails obtenus par TechCrunch.
La semaine dernière, le lycée Oak Park and River Forest (OPRF) dans l’Illinois a déclaré aux parents que lors d’un audit de cybersécurité, « en raison d’une erreur inattendue du fournisseur, le système a réinitialisé le mot de passe de chaque élève, empêchant les élèves de se connecter à leur compte Google. .”
« Pour résoudre ce problème, nous avons réinitialisé le mot de passe de votre enfant sur Ch@ngeme ! afin qu’ils puissent à nouveau accéder à leur compte Google. Ce changement de mot de passe aura lieu à partir de 16 heures aujourd’hui », a écrit l’école, qui compte environ 3 000 élèves, dans un e-mail daté du 22 juin. « Nous suggérons fortement à votre enfant de mettre à jour ce mot de passe avec son propre mot de passe unique dès que possible. ”
Inutile de dire que donner à tout le monde le même mot de passe n’est pas la façon dont une organisation devrait forcer une réinitialisation du mot de passe. La procédure habituelle consiste à forcer la déconnexion de chaque utilisateur, puis à lui demander de modifier son mot de passe la prochaine fois qu’il tentera de se connecter.
Manning Peterson, la mère d’un étudiant de l’OPRF, a répondu que « c’est terriblement dangereux et vous venez d’inviter tous les étudiants [sic] comptes pour se faire pirater.
Peterson a déclaré qu’après cet e-mail, elle avait essayé de réinitialiser le mot de passe de son fils, mais cela n’avait pas été possible.
« Mon fils et moi avons pu nous connecter à plusieurs de ses pairs [sic] comptes Google, qui donnaient accès à tous les e-mails, documents, travaux de classe – tout ce qui était enregistré sur Google Drive (feuilles de documentation et diapositives) », a déclaré Peterson dans un e-mail à TechCrunch.
Un jour plus tard, l’école a réalisé l’erreur et a dit aux parents dans un e-mail que le département des technologies de l’éducation « vous enverra par e-mail un processus de mot de passe spécial au cours du week-end qui sera unique à votre élève spécifique ».
Le surintendant de l’OPRF, Greg Johnson, et la surintendante adjointe / directrice Lynda Parker n’ont pas répondu aux multiples demandes de commentaires envoyées par courrier électronique.
Avez-vous des informations sur les problèmes de cybersécurité dans d’autres écoles ? Ou sur les cyberattaques contre les écoles ? Nous aimerions recevoir de vos nouvelles. Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Wickr, Telegram et Wire @lorenzofb, ou envoyer un e-mail à [email protected]. Vous pouvez également contacter TechCrunch via SecureDrop.