image

Cijfers 34.000 UvA-studenten door beveiligingslek in te zien

vrijdag 14 juni 2019, 10:21 door Redactie, 3 reacties
Laatst bijgewerkt: 14-06-2019, 10:46

Door een beveiligingslek in het Student Informatie Systeem (SIS) van de Universiteit van Amsterdam (UvA) was het mogelijk voor studenten om de cijfers van 34.000 medestudenten in te zien. Dat ontdekten UvA-studenten Tiko Huizinga en David Garay van de opleiding Security and Network Engineering (pdf).

Via het Student Informatie Systeem (SIS) worden vakinschrijvingen, studievoortgang, cijfers, betalingsstatussen en andere belangrijke zaken van studenten geregeld. Studenten die op het SIS waren ingelogd konden door het veranderen van een studentnummer en vaknummer in de URL en het uitschakelen van JavaScript de cijfers van medestudenten inzien. Door het uitschakelen van JavaScript werd de controle uitgeschakeld die keek of de opgevraagde cijfers ook daadwerkelijk van de ingelogde gebruiker waren. In het geval JavaScript wel stond ingeschakeld werd de gebruiker doorgestuurd naar een pagina met een foutmelding.

"Dit lek is een typisch voorbeeld van waarom client side autorisatie slecht is", aldus de twee UvA-studenten "Een developer moet er altijd vanuit gaan dat code die op de machine van de gebruiker draait onbetrouwbaar is omdat een gebruiker die kan aanpassen. In dit geval was dit de JavaScript-code en kon de gebruiker JavaScript uitzetten. Hierdoor gebeurde de doorverwijzing niet."

De studenten stellen dat het op deze manier mogelijk was om alle namen, studentnummers en cijfers van alle andere 34.000 UvA-studenten te bekijken. Huizinga en Garay vonden de kwetsbaarheid op 6 mei, naar eigen zeggen bij toeval. Een dag later werd het Computer Emergency Response Team (CERT) van de UvA ingelicht. De kwetsbaarheid is inmiddels verholpen.

Reacties (3)
14-06-2019, 11:03 door Anoniem
Prima opgelost zou ik zeggen! Client side controle is een leuke eerste controle om de server te ontlasten, maar mag nooit de enige controle zijn.
14-06-2019, 14:05 door J.Bakker
Netjes gedaan door de studenten. Zeker iets leuks om bij latere sollicitaties te vertellen etc.
14-06-2019, 17:00 door karma4
De mogelijkheid tot duidt een kwetsbaarheid aan. Een kwetsbaarheid is niet hetzelfde als een datalek.

Alle software bevat wel een fout. Daarmee is niet het gebruik van software meteen als resultaat een datalek.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.