Student Nelson Berg heeft weer beveiligingslekken in een systeem van de Hogeschool van Amsterdam (HvA) gevonden. Het ging in totaal om vier verschillende kwetsbaarheden in de Digitale Leer- en Werkomgeving (DLWO) waardoor hij de gegevens van 93.000 accounts kon achterhalen.
De accountgegevens bestaan uit e-mailadres, naam, afdeling en gebruikersnaam. Ook bleek dat de HvA geen maatregelen had getroffen om bruteforce-aanvallen af te slaan, waardoor een aanvaller eindeloos zou kunnen proberen om toegang tot een account te krijgen. Berg laat in een blog weten hoe hij na 9999 pogingen op zijn eigen account wist in te loggen. De gelekte accountgegevens zouden ook voor een gerichte phishingcampagne kunnen worden gebruikt.
Op 31 mei waarschuwde Berg de HvA voor de vier beveiligingslekken, gevolgd door een waarschuwing op 24 juni voor de bruteforce-aanval. Drie dagen later werd deze kwetsbaarheid verholpen. Een oplossing voor de vier gemelde beveiligingslekken volgde op 25 juli. De student prijst de snelle communicatie met de Hogeschool en het feit dat ze de studenten waarschuwden. Wel hekelt hij het feit dat er speciale beperkingen voor zijn studentenaccount werden ingesteld. Iets wat hem pas later werd verteld.
Tevens stuurde de HvA een advocaat op hem af. De Hogeschool was het niet eens met de bevindingen van de student dat het om een datalek ging. Studenten zijn volgens de advocaat niet verplicht om persoonlijke gegevens in de DLWO te plaatsen. "Besluiten zij dit wel te doen, dan is dat hun eigen verantwoordelijkheid", zo blijkt uit de brief die Berg ontving en op internet plaatste (pdf). De student hekelt verder de aanpak van de problemen door de HvA. De kwetsbare onderdelen van het systeem werden in afwachting van een update niet uit de lucht gehaald, waardoor de gegevens volgens de student risico liepen.
Berg ontdekte eerder al een beveiligingslek in de studentinformatiesystemen (SIS) van de Hogeschool van Amsterdam en Universiteit van Amsterdam. Daardoor had hij toegang tot de gegevens van ruim 600.000 studenten, waaronder namen, telefoonnummers en foto's.
Deze posting is gelocked. Reageren is niet meer mogelijk.