¿Existe una edad a partir de la cual las empresas comienzan a considerarte un hacker serio? Un joven estudiante avisó a varias compañías de software de que el software de su escuela tenía un fallo que podría revelar los datos de 5 millones de usuarios.
Nadie le hizo caso, así que no se le ocurrió otra cosa que hackear su escuela. Fue expulsado durante dos días, hasta que las compañías de software reconocieron el fallo, y ya lo han arreglado.
Ahora este joven hacker ha sido una de las estrellas de la conferencia de hackers Defcon 2019 que se está celebrando esta semana en las Vegas.
Bill Demirkapi, que ahora tiene 18 años de edad, comenzó a interesarse por el tema hacker cuando solo tenía 10 años. Durante tres años ha estado estudiando el software de su escuela, desarrollado por dos compañías llamadas Blackboard y Follett que suministran software educativo para 5 millones de alumnos estadounidenses.
El joven estudiante descubrió dos fallos en ambas plataformas que permitían a un atacante acceder a la base de datos global y espiar datos tan dispares como las cuentas de la cafetería, las notas de los alumnos, su historial y fotos, e incluso las contraseñas encriptadas. Comunicó el fallo a ambas compañías, pero ninguna de las dos le tomó en serio. ¿Qué va a saber de seguridad informática un estudiante adolescente?
En vista de que nadie le hacía caso, a Bill Demirkapi no le quedó más remedio que hacer lo que todo buen hacker haría: hackeó el software de su escuela y envío una notificación a todos los alumnos en la que decía: «Hola, soy Bill Demirkapi».
El hacker adolescente se ganó dos días de expulsión, pero también la atención de las desarrolladoras del software, que tras analizar el caso reconocieron que los fallos eran ciertos, y ya los han corregido. También han confirmado que nadie ha explotado estas vulnerabilidades para robar datos (ni siquiera el propio estudiante).
Demirkapi ha participado este fin de semana en una conferencia en la Defcon 2019, en la que ha mostrado cómo descubrió el bug. Y ya ha sido invitado a otras conferencias de seguridad, como la Recon Montreal 2019.
Tras el incidente, el joven estudiante, que ya ha terminado sus estudios de instituto, se planteó echar la solicitud para un puesto vacante como jefe de seguridad informática de una de las empresas mencionadas, Blackboard, pero finalmente ha decidido continuar sus estudios en el Instituto de Tecnología de Rochester.
