Onderzoekers hebben ernstige beveiligingslekken in de Blackboard-implementatie van de Universiteit van Amsterdam (UvA) ontdekt waardoor ze de accounts van meer dan 10.000 gebruikers konden overnemen. Blackboard is een online leeromgeving voor onderwijsinstellingen.
Het kan onder andere worden gebruikt voor het aanmaken van vakken, inschrijven van studenten en het aanbieden en beoordelen van huiswerk. Het wordt door universiteiten wereldwijd gebruikt. In Nederland is de UvA de grootste gebruiker met meer dan 30.000 studenten. Onderzoekers Bram ter Borch en Auke Zwaan besloten naar de Blackboard-implementatie van de UvA te kijken. Ze hadden gedurende een maand twee dagen per week de tijd om naar kwetsbaarheden te zoeken.
Ter Borch en Zwaan vonden allerlei verschillende kwetsbaarheden. Zo werd de inlogpagina via https aangeboden, maar werden gebruikers na het inloggen automatisch naar http gestuurd. De cookies werden ook alleen voor http geplaatst. "Het bleek niet mogelijk te zijn om veilig in te loggen, zelfs als een gebruiker https zou afdwingen konden we het eenvoudig filteren", aldus de onderzoekers.
Op deze manier konden de onderzoekers sessies van ingelogde gebruikers overnemen. Zodra een gebruiker op Blackboard is ingelogd is het echter mogelijk om het wachtwoord te veranderen zonder het oude wachtwoord eerst op te geven. Zodoende konden niet alleen sessies, maar ook accounts worden gekaapt. Verder bleek de Blackboard-installatie van de UvA van 2013 te dateren en allerlei bekende beveiligingslekken te bevatten, hoewel die niet ernstig waren, zo stellen de onderzoekers.
De grootste problemen kwamen aan het licht toen Ter Borch en Zwaan via een script de gegevens van 143.000 gebruikersaccounts verzamelden en ontdekten dat sommige gebruikers voor hun gebruikersnaam, voornaam en achternaam dezelfde naam gebruikten. Daardoor kwamen ze tot het idee dat sommige gebruikers misschien hun gebruikersnaam ook als wachtwoord gebruiken. Iets wat inderdaad het geval bleek te zijn. Bijna 11.000 gebruikers hadden hun gebruikersnaam als wachtwoord. Het ging niet alleen om studenten, maar ook om ruim 300 accounts die volledige rechten over tenminste één vak hadden. Eén account die op deze manier werd gehackt had zelfs toegang tot ruim duizend vakken. Op deze manier konden nog niet gepubliceerde examens worden verkregen die studenten nog moesten afnemen.
Ook bleek het mogelijk om kwaadaardige code te injecteren op pagina's die vaak door studenten bekeken worden. Het gaat om de homepages van vakken op Blackboard. Als een willekeurig account die pagina dan bezocht, konden de onderzoekers namens dat account alle acties uitvoeren. Zo konden de onderzoekers zichzelf kunnen laten toevoegen aan andere vakken als docent, of zelfs als administrator van heel Blackboard. Dit was ook de manier om bijvoorbeeld cijfers aan te passen of malware onder studenten te verspreiden.
De onderzoekers begonnen vorig jaar april hun onderzoek en presenteerden de resultaten een maand later in mei. In september beweerde de UvA dat de problemen waren verholpen, maar bijna alle problemen zijn volgens de onderzoekers nog steeds aanwezig. Vervolgens vroegen ze de UvA begin dit jaar om een update, maar er kwam geen antwoord, waarop ze nu hun bevindingen via dit rapport (pdf) openbaar hebben gemaakt. Daarin waarschuwen ze dat de UvA dicht bij een ernstig datalek is en de universiteit maatregelen moet nemen. "Aangezien Blackboard de grootste applicatie is die de UvA host en tal van kwetsbaarheden bevat, zou het niet verrassend zijn als dit onderzoek alleen het topje van de ijsberg blootlegt. Wat duidelijk is, is dat de UvA informatiebeveiliging en de databeveiliging van hun systemen serieuzer moet nemen."
Deze posting is gelocked. Reageren is niet meer mogelijk.