Nieuws

Weer beveiligingslekken in systeem Hogeschool van Amsterdam

maandag 1 augustus 2016, 15:09 door Redactie, 5 reacties

Student Nelson Berg heeft weer beveiligingslekken in een systeem van de Hogeschool van Amsterdam (HvA) gevonden. Het ging in totaal om vier verschillende kwetsbaarheden in de Digitale Leer- en Werkomgeving (DLWO) waardoor hij de gegevens van 93.000 accounts kon achterhalen.

De accountgegevens bestaan uit e-mailadres, naam, afdeling en gebruikersnaam. Ook bleek dat de HvA geen maatregelen had getroffen om bruteforce-aanvallen af te slaan, waardoor een aanvaller eindeloos zou kunnen proberen om toegang tot een account te krijgen. Berg laat in een blog weten hoe hij na 9999 pogingen op zijn eigen account wist in te loggen. De gelekte accountgegevens zouden ook voor een gerichte phishingcampagne kunnen worden gebruikt.

Op 31 mei waarschuwde Berg de HvA voor de vier beveiligingslekken, gevolgd door een waarschuwing op 24 juni voor de bruteforce-aanval. Drie dagen later werd deze kwetsbaarheid verholpen. Een oplossing voor de vier gemelde beveiligingslekken volgde op 25 juli. De student prijst de snelle communicatie met de Hogeschool en het feit dat ze de studenten waarschuwden. Wel hekelt hij het feit dat er speciale beperkingen voor zijn studentenaccount werden ingesteld. Iets wat hem pas later werd verteld.

Tevens stuurde de HvA een advocaat op hem af. De Hogeschool was het niet eens met de bevindingen van de student dat het om een datalek ging. Studenten zijn volgens de advocaat niet verplicht om persoonlijke gegevens in de DLWO te plaatsen. "Besluiten zij dit wel te doen, dan is dat hun eigen verantwoordelijkheid", zo blijkt uit de brief die Berg ontving en op internet plaatste (pdf). De student hekelt verder de aanpak van de problemen door de HvA. De kwetsbare onderdelen van het systeem werden in afwachting van een update niet uit de lucht gehaald, waardoor de gegevens volgens de student risico liepen.

Berg ontdekte eerder al een beveiligingslek in de studentinformatiesystemen (SIS) van de Hogeschool van Amsterdam en Universiteit van Amsterdam. Daardoor had hij toegang tot de gegevens van ruim 600.000 studenten, waaronder namen, telefoonnummers en foto's.

Nieuwe Windows 10-installatie vereist gesigneerde kerneldriver

Kaspersky maakt excuses voor ongepaste advertentie

Reacties (5)

01-08-2016, 15:33 door linuxpro

Lijkt mij dat ongeacht het invullen van privacy gevoelige gegevens de beheerder ervan verantwoordelijk is voor hoe daar mee omgegaan wordt. Het simpel afschuiven "eigen schuld dikke bult" lijkt me geen stand houden.

01-08-2016, 15:43 door Anoniem

Wat de Functionaris Gegevensbescherming (en niet een advocaat) aangeeft in de brief is wel correct. Ik zie dat soort discussies ook wel langskomen en regelmatig ook de mening van de Autoriteit Persoonsgegevens.

In feite is het opslaan van de eigen persoonsgegevens door de studenten vergelijkbaar met het plaatsen van een kopie van je paspoort in de cloud. Als die cloud gekraakt wordt, is het voor de beheerder/eigenaar van de cloud geen datalek. De Nederlandse wet gaat duidelijk uit van de gegevens die onder verantwoordelijkheid van de oranisatie worden verwerkt en dat is bij die kopie van het paspoort niet het geval en evenmin bij de gegevens die de studenten zelf hebben ingevoerd.

Peter

01-08-2016, 22:37 door Anoniem

een advocaat:
Studenten zijn volgens de advocaat niet verplicht om persoonlijke gegevens in de DLWO te plaatsen. "Besluiten zij dit wel te doen, dan is dat hun eigen verantwoordelijkheid"

Zou HvA een online cijfer systeem hebben en een advocaten opleiding?

02-08-2016, 15:21 door Anoniem

Is het niet logischer om meneer Nelson Berg te verbieden? Ik bedoel, dat is toch de standaard aanpak van problemen?

07-08-2016, 21:49 door Anoniem

Door Anoniem: Wat de Functionaris Gegevensbescherming (en niet een advocaat) aangeeft in de brief is wel correct. Ik zie dat soort discussies ook wel langskomen en regelmatig ook de mening van de Autoriteit Persoonsgegevens.

In feite is het opslaan van de eigen persoonsgegevens door de studenten vergelijkbaar met het plaatsen van een kopie van je paspoort in de cloud. Als die cloud gekraakt wordt, is het voor de beheerder/eigenaar van de cloud geen datalek. De Nederlandse wet gaat duidelijk uit van de gegevens die onder verantwoordelijkheid van de oranisatie worden verwerkt en dat is bij die kopie van het paspoort niet het geval en evenmin bij de gegevens die de studenten zelf hebben ingevoerd.

Peter

Peter,
toch is dit best op het randje. Immers de Hogeschool biedt wel degelijk de mogelijkheid om dit op te slaan op deze locatie. De hogeschool is dat zeker niet van de plicht ontslagen om dit technisch zo goed mogelijk te beveiligen.
Er blijven veel onduidelijkheden zitten in de privacy richtlijnen en dus ook datalekken.

gr
Sander

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer