Datalek bij Friese school nadat leraar zijn laptop aan leerling uitleent
Een Friese school heeft te maken gekregen met een datalek nadat een leraar zijn laptop aan een leerling uitleende die er vervolgens samen met een andere leerling software op installeerde. Daarmee konden de leerlingen in een later stadium de inloggegevens en wachtwoorden van de betrokken docent achterhalen en werd er toegang verkregen tot gegevens van leerlingen en medewerkers.
Het gaat om gegevens van in totaal 1150 leerlingen, hun ouders en personeelsleden van christelijke scholengemeenschap Liudger locatie Raai in Drachten. De data bestaat uit namen, adresgegevens, telefoonnummers, e-mailadressen en bijzonderheden, zoals de informatie of een leerling dyslexie heeft. De gegevens werden onlangs via het platform Discord gedeeld. De leerlingen hadden ook toegang tot SOM, het systeem dat de school gebruikt voor het opslaan van cijfers. Voor zover bekend zijn er geen cijfers aangepast.
De scholengemeenschap heeft leerlingen, ouders en personeelsleden gewaarschuwd. "We kunnen niet uitsluiten dat de geplaatste gegevens in handen zijn gekomen van externen die hier misbruik van kunnen maken’’, laten directeur Joop Vogel en locatiedirecteur Gert Schooten in een brief aan ouders en leerlingen weten. Er is inmiddels aangifte tegen de twee leerlingen gedaan, die ook beiden zijn geschorst. Verder is de Autoriteit Persoonsgegevens ingelicht en buigt de politie zich over de zaak, zo meldt de Leeuwarder Courant.
Reacties (20)
Is de docent ook geschorst? Hij had dit alles kunnen voorkomen door verantwoordelijk met zijn account om te gaan.
Dat is twee dagen geleden gemeld op het forum van deze website.
https://www.security.nl/posting/739982/Groot+datalek+door+leerlingen+school+Drachten
Het is overigens wel choquerend dat de goede intentie van een leerkracht zó wordt misbruikt door een paar leerlingen.
https://www.security.nl/posting/739982/Groot+datalek+door+leerlingen+school+Drachten
Het is overigens wel choquerend dat de goede intentie van een leerkracht zó wordt misbruikt door een paar leerlingen.
Tsja... je laptop uitlenen...
En dan blijkbaar ook nog met een root password zodat men iets kan installeren. Ben ik nou de enige die dat niet zo handig vindt?
En dan blijkbaar ook nog met een root password zodat men iets kan installeren. Ben ik nou de enige die dat niet zo handig vindt?
27-01-2022, 14:21 door
meinonA
"Docent leent laptop met admin-recht uit aan scholieren en verwacht dat er niets mee gebeurt."
Ja, de scholieren zijn fout, maar die docent/school heeft de beveiliging absoluut niet op orde.
Ja, de scholieren zijn fout, maar die docent/school heeft de beveiliging absoluut niet op orde.
Laptop uitlenen aan leering: moet nog kunnen
Zonder toezicht danwel wachtwoord afgeven voor gebruik: daar gaat het van onverstandig naar laakbaar
Reguliere gebruiker = local admin: slecht IT beheer
Leerling die iets toevertrouwd wordt om er vervolgens een keylogger op te installeren: tsja, je moet er rekening mee houden... maar strafbaar is het zeker
Inloggevens gebruiken om daadwerkelijk gegevens in te zien en te downloaden: vast een kick om te doen én oh zo dom
Gegevens van anderen op Discord zetten: ... ze voelden zich vast even het haantje toen ze het erop zetten, maar, oh zo dom en strafbaar
En dan niet cijfers aanpassen, want misschien worden we wel gesnapt? Ik vrees dat de leerlingen op deze school geen goed besef hebben van privacy, hoe lang zaken op internet blijven rondzweven, wat de waarde is van die gegevens en wat 'vertrouwen' nu echt waard is.
Wellicht dat niet schorsen maar juist wat extra lesuren hier een betere oplossing zijn.
Zonder toezicht danwel wachtwoord afgeven voor gebruik: daar gaat het van onverstandig naar laakbaar
Reguliere gebruiker = local admin: slecht IT beheer
Leerling die iets toevertrouwd wordt om er vervolgens een keylogger op te installeren: tsja, je moet er rekening mee houden... maar strafbaar is het zeker
Inloggevens gebruiken om daadwerkelijk gegevens in te zien en te downloaden: vast een kick om te doen én oh zo dom
Gegevens van anderen op Discord zetten: ... ze voelden zich vast even het haantje toen ze het erop zetten, maar, oh zo dom en strafbaar
En dan niet cijfers aanpassen, want misschien worden we wel gesnapt? Ik vrees dat de leerlingen op deze school geen goed besef hebben van privacy, hoe lang zaken op internet blijven rondzweven, wat de waarde is van die gegevens en wat 'vertrouwen' nu echt waard is.
Wellicht dat niet schorsen maar juist wat extra lesuren hier een betere oplossing zijn.
Was het een "geraffineerde" aanval?
Een eigen laptop (gezien de admin rechten) waar een leraar werkt op doet en een leraar die zonder supervisie kinderen met zo'n laptop laat spelen...dit zal wel vaker gebeuren in het "nieuwe normaal" zolang er geen sancties tegenover staan.
Een eigen laptop (gezien de admin rechten) waar een leraar werkt op doet en een leraar die zonder supervisie kinderen met zo'n laptop laat spelen...dit zal wel vaker gebeuren in het "nieuwe normaal" zolang er geen sancties tegenover staan.
Ik vraag mij af waarom er geen security training voor leraren verplicht wordt gesteld?
Dan had dit debacle zeker voorkomen kunnen worden!
Dan had dit debacle zeker voorkomen kunnen worden!
27-01-2022, 16:31 door
Struckto
Dit is nou typisch waar de aivd onderzoek voor moet doen.
Door Struckto: Dit is nou typisch waar de aivd onderzoek voor moet doen.
Doe nou niet zo over de top. Leerling krijgt laptop van leraar en doet niet zulke handige dingen. Gewoon gesprek mee voeren en klaar.
De AIVD moet zich bezighouden met serieuze zaken als corruptie op de ministeries, of beïnvloeding van de ministeries door buitenlandse intel, of de ontwrichting van de democratie door de (buitenlandse) intel.
Door Anoniem: Ik vraag mij af waarom er geen security training voor leraren verplicht wordt gesteld?
Dan had dit debacle zeker voorkomen kunnen worden!
Dan had dit debacle zeker voorkomen kunnen worden!
Omdat leraren geen ICT-ers zijn. Net zoals 99,9% van de bevolking. En die zijn niet security minded. Zij hebben andere werkzaamheden en interesses.
Als in: "ICT en security zijn lastig, want daardoor kun je je trucje niet meer doen, en miet je meer hidnernissen nemen"
Nu is het een leraar die deze domme fout maakt. Morgen is het je schoonmoeder of de medewerker van de financiele afdeling of het archief.
Waarom verwachten ICT-ers altijd dan niet ICT-ers overal aan zullen denken of snappen wat ze zouden moeten doen.
Naast deze "security training voor leraren", en al de andere trainingen die beroepsgroepen, ouders en politici vinden dat leraren ook allemaal eigenlijk zouden moeten volgen: wanneer verwacht je dat die leraren dan nog aan hun eigenlijke werk van lesgeven toe zullen komen?
ICT-ers zouden meer moeten gaan nadenken hoe zij de secrity op een handige gebruiksvriendelijke manier (straight out of the box) kunnen inrichten voor niet ICT-ers zodat die hun eigenlijke werk kunnen doen, ivp zelf halve ICT-ers te moeten zijn.
Door Anoniem: Is de docent ook geschorst? Hij had dit alles kunnen voorkomen door verantwoordelijk met zijn account om te gaan.
Ieder z'n vak, hé.Als je Windows installeert, wordt je dan gevraagd om een Admin én een gebruikers account aan te maken?
Is er bij Windows een optie voor een gasten account standaard aanwezig?
En ja, ik weet dat deze opties er wel degelijk in zitten!
Je kunt de docent een hoop verwijten, maar het OS heeft ook - na al die jaren - ook echt nog wel wat design issues. Het is toch een vrij normaal gebruikersscenario om je laptop even aan een ander te geven om wat werk op te doen. Mijn telefoon kan ik zelfs nog beter en gelaagder dichtspijkeren, en dat is toch echt een veel meer privé apparaat dan een laptop.
Door Anoniem: Ik vraag mij af waarom er geen security training voor leraren verplicht wordt gesteld?
Dan had dit debacle zeker voorkomen kunnen worden!
Er is een lerarentekort, dat weet je, toch? Er zijn aardig wat scholen waar ze blij zijn dat ze uberhaupt iemand voor de klas hebben staan. Dat was in 2019 al zo, en dat is er bepaald niet beter op geworden met alle coronagevallen.Dan had dit debacle zeker voorkomen kunnen worden!
Ik vraag me af waarom er geen verplichting is om je goed te informeren voordat je post op fora?
Door Anoniem: Ik vraag mij af waarom er geen security training voor leraren verplicht wordt gesteld?
Dan had dit debacle zeker voorkomen kunnen worden!
Dan had dit debacle zeker voorkomen kunnen worden!
"Meneer me laptop is kapot/vergeten en vandaag is proefwerk" - en dan is die ene keus die leerling een 1 geven, en de andere keus een laptop uitlenen : en dan krijg je stank voor dank .
Vroeger moesten ze alleen maar woordenboeken of atlassen lenen.
Als ik dit goed lees is de laptop uitgeleend. Tijdens deze uitleen procedure is er een keylogger op gezet en in een later stadium is er misbruik gemaakt van de inloggegevens.
Als ik dit goed lees zijn de "gekaapte" credentials dus vanaf een andere plek dan de laptop gebruikt.
Van alle (security) fouten die hier bij het lezen van dit bericht door mijn hoofd vliegen schreeuwt er één het hardst:
MFA!!!!!
Natuurlijk moet je een gebruiker geen lokaal admin maken.
Maar ik ken legio situaties waarbij dit niet anders kan.
Laat een gebruiker niet zelf software kunnen installeren, beperk de uit te voeren applicaties. Allemaal standaar security tips die, helaas, niet in elke situatie mogelijk zijn.
MFA implementatie is dit wel en zorgt ervoor dat elke inloggen uniek is en kwaadwillige niets aan de credential gegevens hebben.
Als ik dit goed lees zijn de "gekaapte" credentials dus vanaf een andere plek dan de laptop gebruikt.
Van alle (security) fouten die hier bij het lezen van dit bericht door mijn hoofd vliegen schreeuwt er één het hardst:
MFA!!!!!
Natuurlijk moet je een gebruiker geen lokaal admin maken.
Maar ik ken legio situaties waarbij dit niet anders kan.
Laat een gebruiker niet zelf software kunnen installeren, beperk de uit te voeren applicaties. Allemaal standaar security tips die, helaas, niet in elke situatie mogelijk zijn.
MFA implementatie is dit wel en zorgt ervoor dat elke inloggen uniek is en kwaadwillige niets aan de credential gegevens hebben.
Heerlijk die reacties hier. Het is een leraar he, geen ITér, die beste man heeft dit waarschijnlijk met de beste intenties gedaan. Zoals het hoort (en gaat) bij leraren, mensen helpen, iets leren.
Hier moet je kijken naar de IT afdeling, maar eigenlijk gewoon naar de koters. Ikzelf zou bijvoorbeeld dit niet bedenken om te gaan doen.
Hier moet je kijken naar de IT afdeling, maar eigenlijk gewoon naar de koters. Ikzelf zou bijvoorbeeld dit niet bedenken om te gaan doen.
Door Anoniem: Heerlijk die reacties hier. Het is een leraar he, geen ITér, die beste man heeft dit waarschijnlijk met de beste intenties gedaan. Zoals het hoort (en gaat) bij leraren, mensen helpen, iets leren.
Hier moet je kijken naar de IT afdeling, maar eigenlijk gewoon naar de koters. Ikzelf zou bijvoorbeeld dit niet bedenken om te gaan doen.
Hier moet je kijken naar de IT afdeling, maar eigenlijk gewoon naar de koters. Ikzelf zou bijvoorbeeld dit niet bedenken om te gaan doen.
Juistem, de IT afdeling... nogal gevoelige data en het proeft naar geen MFA...
Ook die mensen die roepen leraar geeft account, waarop baseren ze dat... als ik kan booten vanuit USB kom ik elke windows bak in, ook linux momenteel overigens maar dat terzijde.
Door meinonA: "Docent leent laptop met admin-recht uit aan scholieren en verwacht dat er niets mee gebeurt."
Ja, de scholieren zijn fout, maar die docent/school heeft de beveiliging absoluut niet op orde.
Waar haal je vandaan dat hij admin rechten had. Je hebt geen admin rechten nodig om een keylogger/script neer te zetten en te starten.Ja, de scholieren zijn fout, maar die docent/school heeft de beveiliging absoluut niet op orde.
Niet handig om zijn laptop aan leerlingen te geven,
Door Anoniem:
Juistem, de IT afdeling... nogal gevoelige data en het proeft naar geen MFA...
Ook die mensen die roepen leraar geeft account, waarop baseren ze dat... als ik kan booten vanuit USB kom ik elke windows bak in, ook linux momenteel overigens maar dat terzijde.
Door Anoniem: Heerlijk die reacties hier. Het is een leraar he, geen ITér, die beste man heeft dit waarschijnlijk met de beste intenties gedaan. Zoals het hoort (en gaat) bij leraren, mensen helpen, iets leren.
Hier moet je kijken naar de IT afdeling, maar eigenlijk gewoon naar de koters. Ikzelf zou bijvoorbeeld dit niet bedenken om te gaan doen.
Hier moet je kijken naar de IT afdeling, maar eigenlijk gewoon naar de koters. Ikzelf zou bijvoorbeeld dit niet bedenken om te gaan doen.
Juistem, de IT afdeling... nogal gevoelige data en het proeft naar geen MFA...
Ook die mensen die roepen leraar geeft account, waarop baseren ze dat... als ik kan booten vanuit USB kom ik elke windows bak in, ook linux momenteel overigens maar dat terzijde.
Niet bij bakken met volledige schijf versleuteling!
Door Anoniem: Niet handig om zijn laptop aan leerlingen te geven,
Veel in IT-beveiliging gaat er om goede redenen van uit dat je maar beter niets of niemand kan vertrouwen. Onderwijs, en heel erg veel andere dingen in de samenleving, zijn niet op dat wantrouwen gebaseerd, maar veel meer op vertrouwen. En ook dat heeft erg goede redenen.Het is geen zwakte van mensen dat we zoveel wantrouwen nodig hebben in IT-beveiliging, dat is een zwakte van IT. Een zwakte waarvan ik niet weet of die oplosbaar is, maar desalniettemin: een zwakte.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
