image

Weer beveiligingslekken in systeem Hogeschool van Amsterdam

maandag 1 augustus 2016, 15:09 door Redactie, 5 reacties

Student Nelson Berg heeft weer beveiligingslekken in een systeem van de Hogeschool van Amsterdam (HvA) gevonden. Het ging in totaal om vier verschillende kwetsbaarheden in de Digitale Leer- en Werkomgeving (DLWO) waardoor hij de gegevens van 93.000 accounts kon achterhalen.

De accountgegevens bestaan uit e-mailadres, naam, afdeling en gebruikersnaam. Ook bleek dat de HvA geen maatregelen had getroffen om bruteforce-aanvallen af te slaan, waardoor een aanvaller eindeloos zou kunnen proberen om toegang tot een account te krijgen. Berg laat in een blog weten hoe hij na 9999 pogingen op zijn eigen account wist in te loggen. De gelekte accountgegevens zouden ook voor een gerichte phishingcampagne kunnen worden gebruikt.

Op 31 mei waarschuwde Berg de HvA voor de vier beveiligingslekken, gevolgd door een waarschuwing op 24 juni voor de bruteforce-aanval. Drie dagen later werd deze kwetsbaarheid verholpen. Een oplossing voor de vier gemelde beveiligingslekken volgde op 25 juli. De student prijst de snelle communicatie met de Hogeschool en het feit dat ze de studenten waarschuwden. Wel hekelt hij het feit dat er speciale beperkingen voor zijn studentenaccount werden ingesteld. Iets wat hem pas later werd verteld.

Tevens stuurde de HvA een advocaat op hem af. De Hogeschool was het niet eens met de bevindingen van de student dat het om een datalek ging. Studenten zijn volgens de advocaat niet verplicht om persoonlijke gegevens in de DLWO te plaatsen. "Besluiten zij dit wel te doen, dan is dat hun eigen verantwoordelijkheid", zo blijkt uit de brief die Berg ontving en op internet plaatste (pdf). De student hekelt verder de aanpak van de problemen door de HvA. De kwetsbare onderdelen van het systeem werden in afwachting van een update niet uit de lucht gehaald, waardoor de gegevens volgens de student risico liepen.

Berg ontdekte eerder al een beveiligingslek in de studentinformatiesystemen (SIS) van de Hogeschool van Amsterdam en Universiteit van Amsterdam. Daardoor had hij toegang tot de gegevens van ruim 600.000 studenten, waaronder namen, telefoonnummers en foto's.

Reacties (5)
01-08-2016, 15:33 door linuxpro
Lijkt mij dat ongeacht het invullen van privacy gevoelige gegevens de beheerder ervan verantwoordelijk is voor hoe daar mee omgegaan wordt. Het simpel afschuiven "eigen schuld dikke bult" lijkt me geen stand houden.
01-08-2016, 15:43 door Anoniem
Wat de Functionaris Gegevensbescherming (en niet een advocaat) aangeeft in de brief is wel correct. Ik zie dat soort discussies ook wel langskomen en regelmatig ook de mening van de Autoriteit Persoonsgegevens.

In feite is het opslaan van de eigen persoonsgegevens door de studenten vergelijkbaar met het plaatsen van een kopie van je paspoort in de cloud. Als die cloud gekraakt wordt, is het voor de beheerder/eigenaar van de cloud geen datalek. De Nederlandse wet gaat duidelijk uit van de gegevens die onder verantwoordelijkheid van de oranisatie worden verwerkt en dat is bij die kopie van het paspoort niet het geval en evenmin bij de gegevens die de studenten zelf hebben ingevoerd.

Peter
01-08-2016, 22:37 door Anoniem
een advocaat:
Studenten zijn volgens de advocaat niet verplicht om persoonlijke gegevens in de DLWO te plaatsen. "Besluiten zij dit wel te doen, dan is dat hun eigen verantwoordelijkheid"

Zou HvA een online cijfer systeem hebben en een advocaten opleiding?
02-08-2016, 15:21 door Anoniem
Is het niet logischer om meneer Nelson Berg te verbieden? Ik bedoel, dat is toch de standaard aanpak van problemen?
07-08-2016, 21:49 door Anoniem
Door Anoniem: Wat de Functionaris Gegevensbescherming (en niet een advocaat) aangeeft in de brief is wel correct. Ik zie dat soort discussies ook wel langskomen en regelmatig ook de mening van de Autoriteit Persoonsgegevens.

In feite is het opslaan van de eigen persoonsgegevens door de studenten vergelijkbaar met het plaatsen van een kopie van je paspoort in de cloud. Als die cloud gekraakt wordt, is het voor de beheerder/eigenaar van de cloud geen datalek. De Nederlandse wet gaat duidelijk uit van de gegevens die onder verantwoordelijkheid van de oranisatie worden verwerkt en dat is bij die kopie van het paspoort niet het geval en evenmin bij de gegevens die de studenten zelf hebben ingevoerd.

Peter

Peter,
toch is dit best op het randje. Immers de Hogeschool biedt wel degelijk de mogelijkheid om dit op te slaan op deze locatie. De hogeschool is dat zeker niet van de plicht ontslagen om dit technisch zo goed mogelijk te beveiligen.
Er blijven veel onduidelijkheden zitten in de privacy richtlijnen en dus ook datalekken.

gr
Sander
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.