image

Hogeschool Utrecht waarschuwt voor beveiligingslek in SURFfilesender

donderdag 14 november 2024, 11:30 door Redactie, 9 reacties
Laatst bijgewerkt: 14-11-2024, 14:02

De Hogeschool Utrecht heeft studenten en personeel gewaarschuwd voor een beveiligingslek in SURFfilesender, waardoor onbevoegden toegang tot bestanden van gebruikers konden krijgen. Zowel de Hogeschool als SURF hebben melding van een datalek bij de Autoriteit Persoonsgegevens gedaan. Dat meldt Trajectum Online, het online magazine van de Hogeschool Utrecht.

SURFfilesender is een webapplicatie voor het versturen en ontvangen van bestanden. Tussen 21 november 2023 en 14 oktober 2024 was het mogelijk om toegang te krijgen tot bestanden van andere gebruikers. "Cybercriminelen konden de inloggegevens van een nieuw type opslag van de bestanden van SURFfilesender achterhalen", laat Trajectum Online weten. Verdere technische details worden niet gegeven. Security.NL heeft SURF om meer informatie gevraagd.

SURF is de ict-coöperatie van Nederlandse onderwijs- en onderzoeksinstellingen. Het biedt onderwijsinstellingen SURFfilesender voor het uitwisselen van bestanden. De kwetsbaarheid kwam tijdens een penetratietest aan het licht. Het probleem raakte alleen gebruikers die de optie 'File Encryption' niet hadden ingeschakeld. SURF kan alleen zien of er tot 27 september bestanden zijn gestolen en heeft in die periode niets aangetroffen. Over de overige tien maanden heeft de organisatie geen informatie.

De Hogeschool Utrecht heeft nu meer dan vijfhonderd mensen die bestandsversleuteling niet hadden ingeschakeld, 183 studenten en 327 medewerkers, gewaarschuwd dat hun bestanden gestolen konden worden en ze alert moeten zijn op phishing. Tevens roept de Hogeschool op om personen te informeren waarvan gegevens in de verstuurde documenten waren opgeslagen.

Bestandsversleuteling staat niet standaard ingeschakeld. "De versleuteling en ontsleuteling van een bestand vindt plaats in het geheugen van de browser van de gebruiker. Dat geheugen is beperkt en maximaal 2GB per bestand (een Word-bestand is vrijwel altijd kleiner, maar een kwalitatief hoge foto is bijvoorbeeld groter). Maar via SURFfilesender kun je ook veel grotere bestanden versturen. Door automatisch die versleuteling aan te zetten, zou dat niet meer kunnen", aldus een woordvoerder tegenover Trajectum Online.

Update

"Via een in opdracht van SURF uitgevoerde penetratietest is een kwetsbaarheid geconstateerd in de configuratie van SURFfilesender. Via de test is naar voren gekomen dat andere geauthenticeerde gebruikers via een kwetsbaarheid oneigenlijk toegang konden verkrijgen tot bestanden van andere gebruikers. Na constatering is dit verholpen en uit recente logs is geen oneigenlijke toegang geconstateerd in de afgelopen periode", aldus een woordvoerder van SURF tegenover Security.NL.

Reacties (9)
14-11-2024, 11:43 door Anoniem
Dat is een flinke foto van boven de 2GB
14-11-2024, 12:27 door Anoniem
Door Anoniem: Dat is een flinke foto van boven de 2GB

Ja, of de limiet is lager dan 2GB, of het voorbeeld van de woordvoerder is verkeerd gekozen.
Ik denk het laatste - voor de meeste "vertaling naar gewone mensen" wordt altijd "grote foto" gebruikt als voorbeeld van "groot bestand" , in contrast met "word document" .

Het is niet juist hier - maar eigenlijk, op het allerlaagste 'tante truus' uitleg-nivo heb ik niet eens een goed alternatief dat herkenbaar als "oh ja dat doe ik wel eens en dat duurt lang" voor honderden MB tot paar GB .

"hele CD oversturen" of "hele DVD oversturen" zit volgens mij niet in de 'tante truus doet dat wel eens" herkenning.
"uur Netflix kijken" , is dat begripvol als "veel data" ?
Wat daar weer niet aan 'klopt' is dat je een "uur netflix" meestal in minder dan een uur kunt verzenden.


Ook trouwens een flink systeem nodig, als je browser proces +2GB wordt.
Klinkt ook als een signed-32 bit limiet . (Of 32 bit OS ).
14-11-2024, 14:04 door Anoniem
Filesender wordt ook veel door onderzoekers gebruikt voor erg grote databestanden. Dat zijn geen tante truus voorbeelden, maar wel al snel bestanden boven de 2GB. Ik vermoed hier dus inderdaad een onhandig voorbeeld van de journalist, de limiet is inderdaad gewoon 2GB.
14-11-2024, 14:13 door Anoniem
Medische foto's (CT-scan, MRI) kunnen gemakkelijk 2 GB in omvang zijn.
14-11-2024, 15:53 door Anoniem
Er was een lek dat er nog veel langer in zat vele jaren, zie voor setails: Read “CVE-2024–45186: Unauthenticated SSTI bug in Filesender exposes MySQL & S3 credentials and other…“ by Jonathan Bouman on Medium: https://medium.com/@jonathanbouman/cve-2024-45186-unauthenticated-ssti-bug-in-filesender-exposes-mysql-s3-credentials-and-other-463a9efc1478
14-11-2024, 19:26 door Anoniem
Door Anoniem: Medische foto's (CT-scan, MRI) kunnen gemakkelijk 2 GB in omvang zijn.

Het zijn dan ook filmpjes , een hele serie hi-res plakken.

Maar het is een nogal exceptioneel voorbeeld.

Er zijn ook wel 2D ultra-high res foto's die erg groot zijn -
luchtfoto heel nederland in hoge resolutie , ofzo . Of sommige 360 graden high res panorame foto's .

James Webb space telescope full res is, als ik de goede vond, 124MB . 14557 x 8418 px
14-11-2024, 22:35 door Anoniem
Door Anoniem:
James Webb space telescope full res is, als ik de goede vond, 124MB . 14557 x 8418 px
Ik zou hopen dat er meer dan 1 byte per pixel terug komt van die telescoop...
16-11-2024, 21:19 door Anoniem
Een verder niet beschreven beveligingslek is hersteld in versie 2.49 en 3.0rc3 die op 8 augustus verscheen. Er was een periode van 21 november 2023 en 14 oktober 2024 dat de lek er zou zijn geweest. Dat lijkt er op te wijzen dat de beschikbare update niet tijdig is geinstalleerd.

Filesender waarschuwt niet op github dat er security updates zijn geweest. Dat doen ze wel op een blog pagina en op de mailing list. Ook op de site is geen lijst met security fixes aanwezig. Daar is flink wat ruimte voor verbetering.
18-11-2024, 20:49 door Anoniem
Filesender 2.51 bevat ook security updates.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.