Door een beveiligingslek in het Student Informatie Systeem (SIS) van de Universiteit van Amsterdam (UvA) was het mogelijk voor studenten om de cijfers van 34.000 medestudenten in te zien. Dat ontdekten UvA-studenten Tiko Huizinga en David Garay van de opleiding Security and Network Engineering (pdf).

Via het Student Informatie Systeem (SIS) worden vakinschrijvingen, studievoortgang, cijfers, betalingsstatussen en andere belangrijke zaken van studenten geregeld. Studenten die op het SIS waren ingelogd konden door het veranderen van een studentnummer en vaknummer in de URL en het uitschakelen van JavaScript de cijfers van medestudenten inzien. Door het uitschakelen van JavaScript werd de controle uitgeschakeld die keek of de opgevraagde cijfers ook daadwerkelijk van de ingelogde gebruiker waren. In het geval JavaScript wel stond ingeschakeld werd de gebruiker doorgestuurd naar een pagina met een foutmelding.

"Dit lek is een typisch voorbeeld van waarom client side autorisatie slecht is", aldus de twee UvA-studenten "Een developer moet er altijd vanuit gaan dat code die op de machine van de gebruiker draait onbetrouwbaar is omdat een gebruiker die kan aanpassen. In dit geval was dit de JavaScript-code en kon de gebruiker JavaScript uitzetten. Hierdoor gebeurde de doorverwijzing niet."

De studenten stellen dat het op deze manier mogelijk was om alle namen, studentnummers en cijfers van alle andere 34.000 UvA-studenten te bekijken. Huizinga en Garay vonden de kwetsbaarheid op 6 mei, naar eigen zeggen bij toeval. Een dag later werd het Computer Emergency Response Team (CERT) van de UvA ingelicht. De kwetsbaarheid is inmiddels verholpen.