image

Systemen HvA en UvA lekten data 600.000 studenten

maandag 20 juni 2016, 15:51 door Redactie, 9 reacties

Een student heeft een beveiligingslek in de studentinformatiesystemen (SIS) van de Hogeschool van Amsterdam (HvA) en Universiteit van Amsterdam (UvA) ontdekt, waardoor hij toegang tot de gegevens van ruim 600.000 studenten had, waaronder namen, telefoonnummers en foto's.

Via het SIS kunnen studenten zich voor lessen en examens inschrijven. Student Nelson Berg ontdekte de problemen toen hij zichzelf voor een examen inschreef, zo laat hij op de website van zijn eigen bedrijf weten. In de broncode vond hij een deel van het studentinformatiesysteem dat niet langer werd gebruikt, waardoor hij de namen en nummers van alle studenten kon oproepen. Daarnaast ontdekte hij een tweede probleem dat hij de gegevens van studenten en personeel kon benaderen door de parameter van het studentnummer te wijzigen.

Bij de HvA ging het om 385.000 namen en studentennummers, 200.000 telefoonnummers en 130.000 foto's van studenten die toegankelijk waren. Via het studentinformatiesysteem van de UvA kon Berg 237.000 namen, 131.000 telefoonnummers en 63.000 foto's van studenten benaderen. De student informeerde de HvA en UvA op 17 mei. Een dag later werden de problemen verholpen.

Reacties (9)
20-06-2016, 15:56 door Anoniem
Vroeger deden wij via dit systeem de fototjes veranderen van allerlei leerlingen. Dat zorgde voor hilarische momenten wanneer de studenten de studenten pas kregen thuis gezonden.

Systeem altijd al zo lek als een mandje geweest.
20-06-2016, 16:20 door Anoniem
Deze grey hat hacker heeft hier onterecht de persoonlijke gegevens van honderdduizenden studenten gedownload. Dat is niet nodig voor het aantonen van het lek (ook niet om aan te tonen dat er monitoring niet afdoende is).

Verder staan er nu plaatjes op de hacker z'n site met leesbare namen en andere gegevens van studenten.

Wat is gebeurt met de gedownloade gegevens? Wie gaat verwijdering controleren?

Verder: is er melding gedaan bij de Autoriteit Persoonsgegevens?
20-06-2016, 16:24 door Anoniem
Leuk dat hij het lek heeft gevonden. Minder leuk dat hij records van honderdduizenden studenten heeft opgehaald en deze op zijn eigen schijf heeft opgeslagen. Wie moet hem nu geloven dat hij alles keurig netjes verwijderd? Of loopt hij over 5 jaar nog steeds rond met een stiekem encrypted USB-stickje met daarop gegevens van voormalige studenten?
20-06-2016, 22:13 door Anoniem
Dit is mijns inziens inderdaad net aan de verkeerde kant van het ethisch hacken.

Stap 1 daar kan ik nog wel inkomen, want dat laat de omvang van het lek zien. Voor stap 2 en 3 zou een kleine subset van deze data (1%) voldoende zijn.

Dit klinkt toch meer als iemand die wilde kijken hoe ver hij kon gaan en uiteindelijk toch maar besloot een sort responsible disclosure te doen.
21-06-2016, 07:53 door karma4
De voorgaande commentaren daar kan ik me best in vinden.
Wat niet aangekaart is dat de UvA een hoog aangeschreven ICT opleiding heeft. Dat de eigen systemen niet goed onderzocht worden is iets wat lijkt op dat "de kranen lekken bij de loodgieter". Hetkan ook aangeven dat de interne ICT geen sterke band heeft met de ICT studie.
21-06-2016, 08:57 door Anoniem
deze Haxor vergeet dat het om aantonen gaat van kwetsbaarheden gaat niet om het uitbuiten waar dit meer op lijkt.

https://www.ncsc.nl/actueel/nieuwsberichten/leidraad-responsible-disclosure.html

bijv.
• De melder zal niet op onevenredige wijze handelen:
• door een kwetsbaarheid verder uit te nutten dan noodzakelijk is om
de kwetsbaarheid vast te stellen.
• door gegevens van het systeem te kopiëren, te wijzigen of te
verwijderen. Een alternatief hiervoor is het maken van een directory
listing van een systeem
• door herhaaldelijk toegang tot het systeem te verkrijgen of de toegang
te delen met anderen.
• door gebruik te maken van het zogeheten “bruteforcen” van toegang
tot systemen, daarbij is immers geen sprake van een kwetsbaarheid,
maar alleen van het herhaaldelijk proberen van wachtwoorden.
21-06-2016, 21:31 door Anoniem
Deze niet-ethische hacker downloadt gegevens en vermeldt dat. De ethische hacker downloadt dezelfde gegevens, houdt zijn smoel dicht over zijn downloads en gebruikt ze later in betere tijden. Wie is de boef?
22-06-2016, 10:59 door Anoniem
Door Anoniem: Deze niet-ethische hacker downloadt gegevens en vermeldt dat. De ethische hacker downloadt dezelfde gegevens, houdt zijn smoel dicht over zijn downloads en gebruikt ze later in betere tijden. Wie is de boef?

De ethische hacker download niets zonder toestemming. Wij hebben ook een paar meldingen gehad van lekken waarbij het voldoende was om op het lek te wijzen zonder gegevens te downloaden. Waar dat wel noodzakelijk was om het lek aan te tonen, is dat vaak met medeweten gedaan van een derde wiens gegevens zijn gedownload.

Student A denkt een lek te hebben ontdekt. Hij weet het niet zeker. Hij vraagt student B of hij zijn gegevens op mag vragen via het lek. Als student B toestemming geeft, doet A het. Dat is het bewijs dat nodig is en op basis waarvan A de responsible disclosure melding doet.

Peter
22-06-2016, 18:38 door Anoniem
Iedereen die extreem hard aan het huilen is mag blij zijn dat deze student goede bedoelingen heeft en er voor gezorgd heeft dat de honderdduizenden andere studenten die theoretisch gezien precies hetzelfde konden doen als hem dit niet meer kunnen. Hulde aan deze jongen. Laat je niet afschrikken door al deze zeikerds die beweren de reincarnatie van jezus te zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.