Hogeschool Utrecht waarschuwt voor beveiligingslek in SURFfilesender
De Hogeschool Utrecht heeft studenten en personeel gewaarschuwd voor een beveiligingslek in SURFfilesender, waardoor onbevoegden toegang tot bestanden van gebruikers konden krijgen. Zowel de Hogeschool als SURF hebben melding van een datalek bij de Autoriteit Persoonsgegevens gedaan. Dat meldt Trajectum Online, het online magazine van de Hogeschool Utrecht.
SURFfilesender is een webapplicatie voor het versturen en ontvangen van bestanden. Tussen 21 november 2023 en 14 oktober 2024 was het mogelijk om toegang te krijgen tot bestanden van andere gebruikers. "Cybercriminelen konden de inloggegevens van een nieuw type opslag van de bestanden van SURFfilesender achterhalen", laat Trajectum Online weten. Verdere technische details worden niet gegeven. Security.NL heeft SURF om meer informatie gevraagd.
SURF is de ict-coöperatie van Nederlandse onderwijs- en onderzoeksinstellingen. Het biedt onderwijsinstellingen SURFfilesender voor het uitwisselen van bestanden. De kwetsbaarheid kwam tijdens een penetratietest aan het licht. Het probleem raakte alleen gebruikers die de optie 'File Encryption' niet hadden ingeschakeld. SURF kan alleen zien of er tot 27 september bestanden zijn gestolen en heeft in die periode niets aangetroffen. Over de overige tien maanden heeft de organisatie geen informatie.
De Hogeschool Utrecht heeft nu meer dan vijfhonderd mensen die bestandsversleuteling niet hadden ingeschakeld, 183 studenten en 327 medewerkers, gewaarschuwd dat hun bestanden gestolen konden worden en ze alert moeten zijn op phishing. Tevens roept de Hogeschool op om personen te informeren waarvan gegevens in de verstuurde documenten waren opgeslagen.
Bestandsversleuteling staat niet standaard ingeschakeld. "De versleuteling en ontsleuteling van een bestand vindt plaats in het geheugen van de browser van de gebruiker. Dat geheugen is beperkt en maximaal 2GB per bestand (een Word-bestand is vrijwel altijd kleiner, maar een kwalitatief hoge foto is bijvoorbeeld groter). Maar via SURFfilesender kun je ook veel grotere bestanden versturen. Door automatisch die versleuteling aan te zetten, zou dat niet meer kunnen", aldus een woordvoerder tegenover Trajectum Online.
Update
"Via een in opdracht van SURF uitgevoerde penetratietest is een kwetsbaarheid geconstateerd in de configuratie van SURFfilesender. Via de test is naar voren gekomen dat andere geauthenticeerde gebruikers via een kwetsbaarheid oneigenlijk toegang konden verkrijgen tot bestanden van andere gebruikers. Na constatering is dit verholpen en uit recente logs is geen oneigenlijke toegang geconstateerd in de afgelopen periode", aldus een woordvoerder van SURF tegenover Security.NL.Ja, of de limiet is lager dan 2GB, of het voorbeeld van de woordvoerder is verkeerd gekozen.
Ik denk het laatste - voor de meeste "vertaling naar gewone mensen" wordt altijd "grote foto" gebruikt als voorbeeld van "groot bestand" , in contrast met "word document" .
Het is niet juist hier - maar eigenlijk, op het allerlaagste 'tante truus' uitleg-nivo heb ik niet eens een goed alternatief dat herkenbaar als "oh ja dat doe ik wel eens en dat duurt lang" voor honderden MB tot paar GB .
"hele CD oversturen" of "hele DVD oversturen" zit volgens mij niet in de 'tante truus doet dat wel eens" herkenning.
"uur Netflix kijken" , is dat begripvol als "veel data" ?
Wat daar weer niet aan 'klopt' is dat je een "uur netflix" meestal in minder dan een uur kunt verzenden.
Ook trouwens een flink systeem nodig, als je browser proces +2GB wordt.
Klinkt ook als een signed-32 bit limiet . (Of 32 bit OS ).
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
