Старшая школа Oak Park and River Forest (OPRF) в штате Иллинойс попыталась исправить сбой после аудита безопасности — и создала проблему похуже исходной. Всем более чем 3000 ученикам разом присвоили один и тот же пароль от аккаунтов Google: «Ch@ngeme!».
Что произошло
Во время планового аудита кибербезопасности школьных систем произошла ошибка со стороны вендора: система сбросила пароли у всех учеников одновременно, и ребята потеряли доступ к своим учётным записям Google.
Чтобы быстро вернуть детей в систему, администрация школы разослала родителям письмо, в котором говорилось: «Из-за непредвиденной ошибки вендора система сбросила пароль каждого ученика, из-за чего дети не могли войти в свой аккаунт Google». Далее в письме уточнялось: «Чтобы это исправить, мы сбросили пароль вашего ребёнка на Ch@ngeme! — теперь он снова сможет зайти в свой аккаунт Google. Изменение пароля начнётся сегодня в 16:00». Школа также порекомендовала как можно скорее сменить этот пароль на уникальный.
Почему это плохое решение
Проблема очевидна: единый пароль для тысяч учеников фактически открывает доступ каждого к аккаунту каждого. Стандартная практика в такой ситуации — принудительный разлогин всех пользователей с обязательным созданием собственного пароля при следующем входе, а не выдача общего временного значения.
Один из родителей, Мэннинг Питерсон, написал об инциденте в TechCrunch: «Это чудовищно небезопасно, вы только что пригласили всех до единого учеников на взлом их аккаунтов. Мы с сыном смогли войти в аккаунты Google нескольких его одноклассников — это дало доступ ко всей их почте, работам, всему, что хранится на Google Диске (документы, таблицы, презентации)».
Реакция школы
Спустя день после инцидента администрация признала ошибку и в новом письме сообщила, что на выходных проведёт отдельную специальную процедуру смены паролей для учеников.
Источник: Cybersecurity News.