Weer beveiligingslekken in systeem Hogeschool van Amsterdam
Student Nelson Berg heeft weer beveiligingslekken in een systeem van de Hogeschool van Amsterdam (HvA) gevonden. Het ging in totaal om vier verschillende kwetsbaarheden in de Digitale Leer- en Werkomgeving (DLWO) waardoor hij de gegevens van 93.000 accounts kon achterhalen.
De accountgegevens bestaan uit e-mailadres, naam, afdeling en gebruikersnaam. Ook bleek dat de HvA geen maatregelen had getroffen om bruteforce-aanvallen af te slaan, waardoor een aanvaller eindeloos zou kunnen proberen om toegang tot een account te krijgen. Berg laat in een blog weten hoe hij na 9999 pogingen op zijn eigen account wist in te loggen. De gelekte accountgegevens zouden ook voor een gerichte phishingcampagne kunnen worden gebruikt.
Op 31 mei waarschuwde Berg de HvA voor de vier beveiligingslekken, gevolgd door een waarschuwing op 24 juni voor de bruteforce-aanval. Drie dagen later werd deze kwetsbaarheid verholpen. Een oplossing voor de vier gemelde beveiligingslekken volgde op 25 juli. De student prijst de snelle communicatie met de Hogeschool en het feit dat ze de studenten waarschuwden. Wel hekelt hij het feit dat er speciale beperkingen voor zijn studentenaccount werden ingesteld. Iets wat hem pas later werd verteld.
Tevens stuurde de HvA een advocaat op hem af. De Hogeschool was het niet eens met de bevindingen van de student dat het om een datalek ging. Studenten zijn volgens de advocaat niet verplicht om persoonlijke gegevens in de DLWO te plaatsen. "Besluiten zij dit wel te doen, dan is dat hun eigen verantwoordelijkheid", zo blijkt uit de brief die Berg ontving en op internet plaatste (pdf). De student hekelt verder de aanpak van de problemen door de HvA. De kwetsbare onderdelen van het systeem werden in afwachting van een update niet uit de lucht gehaald, waardoor de gegevens volgens de student risico liepen.
Berg ontdekte eerder al een beveiligingslek in de studentinformatiesystemen (SIS) van de Hogeschool van Amsterdam en Universiteit van Amsterdam. Daardoor had hij toegang tot de gegevens van ruim 600.000 studenten, waaronder namen, telefoonnummers en foto's.
In feite is het opslaan van de eigen persoonsgegevens door de studenten vergelijkbaar met het plaatsen van een kopie van je paspoort in de cloud. Als die cloud gekraakt wordt, is het voor de beheerder/eigenaar van de cloud geen datalek. De Nederlandse wet gaat duidelijk uit van de gegevens die onder verantwoordelijkheid van de oranisatie worden verwerkt en dat is bij die kopie van het paspoort niet het geval en evenmin bij de gegevens die de studenten zelf hebben ingevoerd.
Peter
Studenten zijn volgens de advocaat niet verplicht om persoonlijke gegevens in de DLWO te plaatsen. "Besluiten zij dit wel te doen, dan is dat hun eigen verantwoordelijkheid"
Zou HvA een online cijfer systeem hebben en een advocaten opleiding?
In feite is het opslaan van de eigen persoonsgegevens door de studenten vergelijkbaar met het plaatsen van een kopie van je paspoort in de cloud. Als die cloud gekraakt wordt, is het voor de beheerder/eigenaar van de cloud geen datalek. De Nederlandse wet gaat duidelijk uit van de gegevens die onder verantwoordelijkheid van de oranisatie worden verwerkt en dat is bij die kopie van het paspoort niet het geval en evenmin bij de gegevens die de studenten zelf hebben ingevoerd.
Peter
Peter,
toch is dit best op het randje. Immers de Hogeschool biedt wel degelijk de mogelijkheid om dit op te slaan op deze locatie. De hogeschool is dat zeker niet van de plicht ontslagen om dit technisch zo goed mogelijk te beveiligen.
Er blijven veel onduidelijkheden zitten in de privacy richtlijnen en dus ook datalekken.
gr
Sander
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
