Weer beveiligingslekken in systeem Hogeschool van Amsterdam
Student Nelson Berg heeft weer beveiligingslekken in een systeem van de Hogeschool van Amsterdam (HvA) gevonden. Het ging in totaal om vier verschillende kwetsbaarheden in de Digitale Leer- en Werkomgeving (DLWO) waardoor hij de gegevens van 93.000 accounts kon achterhalen.
De accountgegevens bestaan uit e-mailadres, naam, afdeling en gebruikersnaam. Ook bleek dat de HvA geen maatregelen had getroffen om bruteforce-aanvallen af te slaan, waardoor een aanvaller eindeloos zou kunnen proberen om toegang tot een account te krijgen. Berg laat in een blog weten hoe hij na 9999 pogingen op zijn eigen account wist in te loggen. De gelekte accountgegevens zouden ook voor een gerichte phishingcampagne kunnen worden gebruikt.
Op 31 mei waarschuwde Berg de HvA voor de vier beveiligingslekken, gevolgd door een waarschuwing op 24 juni voor de bruteforce-aanval. Drie dagen later werd deze kwetsbaarheid verholpen. Een oplossing voor de vier gemelde beveiligingslekken volgde op 25 juli. De student prijst de snelle communicatie met de Hogeschool en het feit dat ze de studenten waarschuwden. Wel hekelt hij het feit dat er speciale beperkingen voor zijn studentenaccount werden ingesteld. Iets wat hem pas later werd verteld.
Tevens stuurde de HvA een advocaat op hem af. De Hogeschool was het niet eens met de bevindingen van de student dat het om een datalek ging. Studenten zijn volgens de advocaat niet verplicht om persoonlijke gegevens in de DLWO te plaatsen. "Besluiten zij dit wel te doen, dan is dat hun eigen verantwoordelijkheid", zo blijkt uit de brief die Berg ontving en op internet plaatste (pdf). De student hekelt verder de aanpak van de problemen door de HvA. De kwetsbare onderdelen van het systeem werden in afwachting van een update niet uit de lucht gehaald, waardoor de gegevens volgens de student risico liepen.
Berg ontdekte eerder al een beveiligingslek in de studentinformatiesystemen (SIS) van de Hogeschool van Amsterdam en Universiteit van Amsterdam. Daardoor had hij toegang tot de gegevens van ruim 600.000 studenten, waaronder namen, telefoonnummers en foto's.
In feite is het opslaan van de eigen persoonsgegevens door de studenten vergelijkbaar met het plaatsen van een kopie van je paspoort in de cloud. Als die cloud gekraakt wordt, is het voor de beheerder/eigenaar van de cloud geen datalek. De Nederlandse wet gaat duidelijk uit van de gegevens die onder verantwoordelijkheid van de oranisatie worden verwerkt en dat is bij die kopie van het paspoort niet het geval en evenmin bij de gegevens die de studenten zelf hebben ingevoerd.
Peter
Studenten zijn volgens de advocaat niet verplicht om persoonlijke gegevens in de DLWO te plaatsen. "Besluiten zij dit wel te doen, dan is dat hun eigen verantwoordelijkheid"
Zou HvA een online cijfer systeem hebben en een advocaten opleiding?
In feite is het opslaan van de eigen persoonsgegevens door de studenten vergelijkbaar met het plaatsen van een kopie van je paspoort in de cloud. Als die cloud gekraakt wordt, is het voor de beheerder/eigenaar van de cloud geen datalek. De Nederlandse wet gaat duidelijk uit van de gegevens die onder verantwoordelijkheid van de oranisatie worden verwerkt en dat is bij die kopie van het paspoort niet het geval en evenmin bij de gegevens die de studenten zelf hebben ingevoerd.
Peter
Peter,
toch is dit best op het randje. Immers de Hogeschool biedt wel degelijk de mogelijkheid om dit op te slaan op deze locatie. De hogeschool is dat zeker niet van de plicht ontslagen om dit technisch zo goed mogelijk te beveiligen.
Er blijven veel onduidelijkheden zitten in de privacy richtlijnen en dus ook datalekken.
gr
Sander
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.