Hogeschool Utrecht waarschuwt voor beveiligingslek in SURFfilesender
De Hogeschool Utrecht heeft studenten en personeel gewaarschuwd voor een beveiligingslek in SURFfilesender, waardoor onbevoegden toegang tot bestanden van gebruikers konden krijgen. Zowel de Hogeschool als SURF hebben melding van een datalek bij de Autoriteit Persoonsgegevens gedaan. Dat meldt Trajectum Online, het online magazine van de Hogeschool Utrecht.
SURFfilesender is een webapplicatie voor het versturen en ontvangen van bestanden. Tussen 21 november 2023 en 14 oktober 2024 was het mogelijk om toegang te krijgen tot bestanden van andere gebruikers. "Cybercriminelen konden de inloggegevens van een nieuw type opslag van de bestanden van SURFfilesender achterhalen", laat Trajectum Online weten. Verdere technische details worden niet gegeven. Security.NL heeft SURF om meer informatie gevraagd.
SURF is de ict-coöperatie van Nederlandse onderwijs- en onderzoeksinstellingen. Het biedt onderwijsinstellingen SURFfilesender voor het uitwisselen van bestanden. De kwetsbaarheid kwam tijdens een penetratietest aan het licht. Het probleem raakte alleen gebruikers die de optie 'File Encryption' niet hadden ingeschakeld. SURF kan alleen zien of er tot 27 september bestanden zijn gestolen en heeft in die periode niets aangetroffen. Over de overige tien maanden heeft de organisatie geen informatie.
De Hogeschool Utrecht heeft nu meer dan vijfhonderd mensen die bestandsversleuteling niet hadden ingeschakeld, 183 studenten en 327 medewerkers, gewaarschuwd dat hun bestanden gestolen konden worden en ze alert moeten zijn op phishing. Tevens roept de Hogeschool op om personen te informeren waarvan gegevens in de verstuurde documenten waren opgeslagen.
Bestandsversleuteling staat niet standaard ingeschakeld. "De versleuteling en ontsleuteling van een bestand vindt plaats in het geheugen van de browser van de gebruiker. Dat geheugen is beperkt en maximaal 2GB per bestand (een Word-bestand is vrijwel altijd kleiner, maar een kwalitatief hoge foto is bijvoorbeeld groter). Maar via SURFfilesender kun je ook veel grotere bestanden versturen. Door automatisch die versleuteling aan te zetten, zou dat niet meer kunnen", aldus een woordvoerder tegenover Trajectum Online.
Update
"Via een in opdracht van SURF uitgevoerde penetratietest is een kwetsbaarheid geconstateerd in de configuratie van SURFfilesender. Via de test is naar voren gekomen dat andere geauthenticeerde gebruikers via een kwetsbaarheid oneigenlijk toegang konden verkrijgen tot bestanden van andere gebruikers. Na constatering is dit verholpen en uit recente logs is geen oneigenlijke toegang geconstateerd in de afgelopen periode", aldus een woordvoerder van SURF tegenover Security.NL.Ja, of de limiet is lager dan 2GB, of het voorbeeld van de woordvoerder is verkeerd gekozen.
Ik denk het laatste - voor de meeste "vertaling naar gewone mensen" wordt altijd "grote foto" gebruikt als voorbeeld van "groot bestand" , in contrast met "word document" .
Het is niet juist hier - maar eigenlijk, op het allerlaagste 'tante truus' uitleg-nivo heb ik niet eens een goed alternatief dat herkenbaar als "oh ja dat doe ik wel eens en dat duurt lang" voor honderden MB tot paar GB .
"hele CD oversturen" of "hele DVD oversturen" zit volgens mij niet in de 'tante truus doet dat wel eens" herkenning.
"uur Netflix kijken" , is dat begripvol als "veel data" ?
Wat daar weer niet aan 'klopt' is dat je een "uur netflix" meestal in minder dan een uur kunt verzenden.
Ook trouwens een flink systeem nodig, als je browser proces +2GB wordt.
Klinkt ook als een signed-32 bit limiet . (Of 32 bit OS ).
Het zijn dan ook filmpjes , een hele serie hi-res plakken.
Maar het is een nogal exceptioneel voorbeeld.
Er zijn ook wel 2D ultra-high res foto's die erg groot zijn -
luchtfoto heel nederland in hoge resolutie , ofzo . Of sommige 360 graden high res panorame foto's .
James Webb space telescope full res is, als ik de goede vond, 124MB . 14557 x 8418 px
James Webb space telescope full res is, als ik de goede vond, 124MB . 14557 x 8418 px
Filesender waarschuwt niet op github dat er security updates zijn geweest. Dat doen ze wel op een blog pagina en op de mailing list. Ook op de site is geen lijst met security fixes aanwezig. Daar is flink wat ruimte voor verbetering.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
