La escuela cambia la contraseña de cada estudiante a «¡Cámbiame!»
Después de que una auditoría de seguridad cibernética restableciera por error la contraseña de todos, una escuela secundaria cambió la contraseña de todos los estudiantes a «¡Cámbiame!» dando a cada estudiante la capacidad de piratear la cuenta de cualquier otro estudiante, según los correos electrónicos obtenidos por TechCrunch.
La semana pasada, Oak Park y River Forest (OPRF) High School en Illinois les dijo a los padres que durante una auditoría de ciberseguridad, «debido a un error inesperado del proveedor, el sistema restableció la contraseña de cada estudiante, lo que impidió que los estudiantes iniciaran sesión en su cuenta de Google».
«Para solucionar esto, hemos restablecido la contraseña de su hijo a ¡Ch@ngeme! para que pueda acceder a su cuenta de Google nuevamente. Este cambio de contraseña se llevará a cabo a partir de las 4 p. m. de hoy», dijo la escuela. que tiene aproximadamente 3.000 estudiantesescribió en un correo electrónico fechado el 22 de junio. «Recomendamos encarecidamente que su hijo actualice esta contraseña a su propia contraseña única lo antes posible».
No hace falta decir que dar a todos la misma contraseña no es la forma en que una organización debe forzar un restablecimiento de contraseña. El procedimiento habitual es forzar el cierre de sesión de cada usuario y luego pedirles que cambien su contraseña la próxima vez que intenten iniciar sesión.
Manning Peterson, la madre de un estudiante de OPRF, respondió que «es terriblemente peligroso y acabas de invitar a todos los estudiantes [sic] cuentas para ser hackeadas.
Peterson dijo que después de ese correo electrónico, trató de restablecer la contraseña de su hijo, pero no fue posible.
“Mi hijo y yo pudimos conectarnos con muchos de sus compañeros [sic] Cuentas de Google, que brindaban acceso a todos los correos electrónicos, documentos, trabajos de clase, cualquier cosa guardada en Google Drive (hojas de documentos y diapositivas)”, dijo Peterson en un correo electrónico a TechCrunch.
Un día después, la escuela se dio cuenta del error y les dijo a los padres en un correo electrónico que el Departamento de Tecnología Educativa «les enviará un correo electrónico con un proceso de contraseña especial durante el fin de semana, que será único para su estudiante específico».
El superintendente de OPRF, Greg Johnson, y la superintendente adjunta/directora, Lynda Parker, no respondieron a múltiples solicitudes de comentarios por correo electrónico.
¿Tienen información sobre temas de ciberseguridad en otras escuelas? ¿O sobre ciberataques a escuelas? Nos encantaría saber de usted. Desde un dispositivo que no sea de trabajo, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en Signal al +1 917 257 1382, o a través de Wickr, Telegram and Wire @lorenzofb, o enviar un correo electrónico a lorenzo@techcrunch.com. También puede comunicarse con TechCrunch a través de SecureDrop.