image

Surveillancesoftware voor online tentamens lekt data 444.000 gebruikers

donderdag 6 augustus 2020, 12:17 door Redactie, 16 reacties

Protoctoringsoftware ProctorU, waarmee hogescholen en universiteiten hun studenten tijdens online tentamens kunnen monitoren, heeft van 444.000 gebruikers de privégegevens gelekt. De data werd vervolgens via internet openbaar gemaakt.

Het gaat om namen, e-mailadressen, adresgegevens, telefoonnummers en als bcrypt-hash opgeslagen wachtwoorden van 444.453 gebruikers. De gegevens zouden in juni bij ProctorU zijn buitgemaakt en vervolgens via allerlei websites zijn gedeeld, laat beveiligingsonderzoeker Troy Hunt van datalekzoekmachine Have I Been Pwned weten.

De ruim 444.000 gestolen e-mailadressen zijn aan Have I Been Pwned toegevoegd. Daarvan was 65 procent al via een ander datalek bij de zoekmachine bekend. De oplossing van ProctorU wordt ook door verschillende Nederlandse organisaties gebruikt. Of er ook data van Nederlandse gebruikers is gecompromitteerd is onbekend.

Volgens Honi Soit, de studentenkrant van de Universiteit van Sydney, gaat het in ieder geval om data van verschillende Australische universiteiten. The Sydney Morning Herald meldt dat ProctorU een onderzoek naar het datalek heeft ingesteld.

Reacties (16)
06-08-2020, 12:19 door MathFox
Krijgen de studenten waar gegevens van gelekt zijn omdat ze door hun opleiding gedwongen werden deze malware te gebruiken compensatie van hun opleider of de softwarebakker?
06-08-2020, 13:24 door Anoniem
Door MathFox: Krijgen de studenten waar gegevens van gelekt zijn omdat ze door hun opleiding gedwongen werden deze malware te gebruiken compensatie van hun opleider of de softwarebakker?
Zelfs al zijn ze niet gedwongen, kunnen studenten onder artikel 82 van de GDPR aanspraak maken op compensatie voor zowel materiele als immateriele schade. Van ProctorU, niet van de opleider. Vraag is alleen wat die schade is en of ProctorU dit incident had kunnen voorkomen. Daarnaast lijkt het mij iets waarvoor je zelf een rechtzaak moeten aanspannen, ze gaan uit eigen beweging met geld strooien. Onder artikel 80 zijn wel massa claims mogelijk, wat het wel makkelijker maakt. Wat dat betreft lijkt het mij vergelijkbaar met de consumentenbond claim bij Facebook.
06-08-2020, 13:26 door souplost
Niets over de technologie terug te vinden. Kunnen studenten deze closed source monitoring ook weigeren?
De technologie blog is natuurlijk hilarisch:
We identified three areas where artificial intelligence will benefit our mission of detecting and preventing breaches of academic integrity:

Identity fraud
Cheating behaviors
Content theft
06-08-2020, 13:33 door Anoniem
Gaat u maar rustig slapen, Het is allemaal heeeeeel veilig.
Als er om alernatieven gevraagd wordt, dan zijn dat zeurders.
Vooral in coronoa-tijd. Dan moet je maar alles slikken wat je wordt voorgeschoteld.

Zie hier het resultaat van deze slimmerikken.

Tijd voor strafwerk én financiele compensatie voor de slachtoffers.
06-08-2020, 14:20 door Bitje-scheef
Door Anoniem: Gaat u maar rustig slapen, Het is allemaal heeeeeel veilig.
Als er om alernatieven gevraagd wordt, dan zijn dat zeurders.
Vooral in coronoa-tijd. Dan moet je maar alles slikken wat je wordt voorgeschoteld.

Zie hier het resultaat van deze slimmerikken.

Tijd voor strafwerk én financiele compensatie voor de slachtoffers.

200 a4-tjes overtikken.
06-08-2020, 15:52 door Anoniem
Door Bitje-scheef:
Door Anoniem: Gaat u maar rustig slapen, Het is allemaal heeeeeel veilig.
Als er om alernatieven gevraagd wordt, dan zijn dat zeurders.
Vooral in coronoa-tijd. Dan moet je maar alles slikken wat je wordt voorgeschoteld.

Zie hier het resultaat van deze slimmerikken.

Tijd voor strafwerk én financiele compensatie voor de slachtoffers.

200 a4-tjes overtikken.

Ik zat zelf te denken aan 5.000 regels vlekkeloos en foutloos geschreven met een kroontjespen oid.
Laten we het vooral niet te gemakkelijk maken.
06-08-2020, 17:19 door Anoniem
Door souplost: Kunnen studenten deze closed source monitoring ook weigeren?

Nee. Weigeren = vak niet halen. In ieder geval op mijn universiteit.
06-08-2020, 18:30 door MathFox
Door Anoniem:
Door MathFox: Krijgen de studenten waar gegevens van gelekt zijn omdat ze door hun opleiding gedwongen werden deze malware te gebruiken compensatie van hun opleider of de softwarebakker?
Zelfs al zijn ze niet gedwongen, kunnen studenten onder artikel 82 van de GDPR aanspraak maken op compensatie voor zowel materiele als immateriele schade. Van ProctorU, niet van de opleider. Vraag is alleen wat die schade is en of ProctorU dit incident had kunnen voorkomen. Daarnaast lijkt het mij iets waarvoor je zelf een rechtzaak moeten aanspannen, ze gaan uit eigen beweging met geld strooien. Onder artikel 80 zijn wel massa claims mogelijk, wat het wel makkelijker maakt. Wat dat betreft lijkt het mij vergelijkbaar met de consumentenbond claim bij Facebook.
Wat betreft een rechtszaak vraag ik me af in hoeverre de (afgedwongen) instemming met een EULA het makkelijk maakt om ProctorU aan te pakken. Staan daar beperkingen van de aansprakelijkheid in, verplicht bezoek aan de rechter in Californië, etc.?
06-08-2020, 18:33 door Anoniem
Ach, helertje Hunt is zelf een crimineel die gestolen data vroeg of laat te gelde gaat maken.
06-08-2020, 21:10 door karma4
Door MathFox: Krijgen de studenten waar gegevens van gelekt zijn omdat ze door hun opleiding gedwongen werden deze malware te gebruiken compensatie van hun opleider of de softwarebakker?
Ze hadden de keus om geen opleiding en geen examens te doen.
Als je slaagt wordt dat publiekelijk na te gaan of je wel geslaagd bent. Dat is in jou opinie ook privacy schade.
Ok het stapje verder is dat professoren en alles wat ze doen niet publiekelijk na te gaan mag zijn.
Scheelt tenminste in de massale stroom van publicaties omdat het veel publiceren een kpi en verdienmodel is.
07-08-2020, 00:21 door Anoniem
Door karma4:
Door MathFox: Krijgen de studenten waar gegevens van gelekt zijn omdat ze door hun opleiding gedwongen werden deze malware te gebruiken compensatie van hun opleider of de softwarebakker?
Ze hadden de keus om geen opleiding en geen examens te doen.
Als je slaagt wordt dat publiekelijk na te gaan of je wel geslaagd bent. Dat is in jou opinie ook privacy schade.
Ok het stapje verder is dat professoren en alles wat ze doen niet publiekelijk na te gaan mag zijn.
Scheelt tenminste in de massale stroom van publicaties omdat het veel publiceren een kpi en verdienmodel is.

In Nederland bestaat het recht op onderwijs, dus er is geen sprake van een vrije keuze. Zoek nog eens op wat privacy inhoudt, na al die tijd ben je nog steeds in de war. Zonder begrip is er ook geen sprake van een opinie van enige waarde.
07-08-2020, 10:14 door MathFox
Door karma4:
Door MathFox: Krijgen de studenten waar gegevens van gelekt zijn omdat ze door hun opleiding gedwongen werden deze malware te gebruiken compensatie van hun opleider of de softwarebakker?
Ze hadden de keus om geen opleiding en geen examens te doen.
Als je slaagt wordt dat publiekelijk na te gaan of je wel geslaagd bent. Dat is in jou opinie ook privacy schade.
Ok het stapje verder is dat professoren en alles wat ze doen niet publiekelijk na te gaan mag zijn.
Scheelt tenminste in de massale stroom van publicaties omdat het veel publiceren een kpi en verdienmodel is.
Het is vandaag te heet om me druk te maken... Maar niet iedere openbaarmaking van persoonsgegevens is per definitie een privacyschending: Het kan zijn dat de betrokkene de openbaarmaking zelf initieert. En je weet ook dat ik accepteer dat andere maatschappelijke belangen in specifieke gevallen boven de privacy van een individu gaan.
07-08-2020, 20:39 door Anoniem
Wat betreft een rechtszaak vraag ik me af in hoeverre de (afgedwongen) instemming met een EULA het makkelijk maakt om ProctorU aan te pakken. Staan daar beperkingen van de aansprakelijkheid in, verplicht bezoek aan de rechter in Californië, etc.?
Naast dat het hier om Australische universiteiten gaat en er (nog) niks geschreven is over Europese studenten/betrokkenen, verwacht ik dat zo'n beperking nietig verklaard zou worden. Immers zou dat strijdig zijn met de wetgeving waarin staat dat je recht hebt op compensatie.
07-08-2020, 21:31 door Anoniem
Door MathFox: Krijgen de studenten waar gegevens van gelekt zijn omdat ze door hun opleiding gedwongen werden deze malware te gebruiken compensatie van hun opleider of de softwarebakker?
Ze mogen als compensatie hun examen nog een keer overdoen. 8-)
07-08-2020, 21:33 door Anoniem
Door Anoniem: Gaat u maar rustig slapen, Het is allemaal heeeeeel veilig.
We hebben er een bordje 'Verboden toegang' naast gezet.
07-08-2020, 21:37 door Anoniem
Door Anoniem:
Door souplost: Kunnen studenten deze closed source monitoring ook weigeren?

Nee. Weigeren = vak niet halen. In ieder geval op mijn universiteit.

Ja, je kan weigeren 'als je de regels letterlijk neemt', alleen met wat vervelende consequenties.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.