Datalek bij Friese school nadat leraar zijn laptop aan leerling uitleent
Een Friese school heeft te maken gekregen met een datalek nadat een leraar zijn laptop aan een leerling uitleende die er vervolgens samen met een andere leerling software op installeerde. Daarmee konden de leerlingen in een later stadium de inloggegevens en wachtwoorden van de betrokken docent achterhalen en werd er toegang verkregen tot gegevens van leerlingen en medewerkers.
Het gaat om gegevens van in totaal 1150 leerlingen, hun ouders en personeelsleden van christelijke scholengemeenschap Liudger locatie Raai in Drachten. De data bestaat uit namen, adresgegevens, telefoonnummers, e-mailadressen en bijzonderheden, zoals de informatie of een leerling dyslexie heeft. De gegevens werden onlangs via het platform Discord gedeeld. De leerlingen hadden ook toegang tot SOM, het systeem dat de school gebruikt voor het opslaan van cijfers. Voor zover bekend zijn er geen cijfers aangepast.
De scholengemeenschap heeft leerlingen, ouders en personeelsleden gewaarschuwd. "We kunnen niet uitsluiten dat de geplaatste gegevens in handen zijn gekomen van externen die hier misbruik van kunnen maken’’, laten directeur Joop Vogel en locatiedirecteur Gert Schooten in een brief aan ouders en leerlingen weten. Er is inmiddels aangifte tegen de twee leerlingen gedaan, die ook beiden zijn geschorst. Verder is de Autoriteit Persoonsgegevens ingelicht en buigt de politie zich over de zaak, zo meldt de Leeuwarder Courant.
https://www.security.nl/posting/739982/Groot+datalek+door+leerlingen+school+Drachten
Het is overigens wel choquerend dat de goede intentie van een leerkracht zó wordt misbruikt door een paar leerlingen.
En dan blijkbaar ook nog met een root password zodat men iets kan installeren. Ben ik nou de enige die dat niet zo handig vindt?
Ja, de scholieren zijn fout, maar die docent/school heeft de beveiliging absoluut niet op orde.
Zonder toezicht danwel wachtwoord afgeven voor gebruik: daar gaat het van onverstandig naar laakbaar
Reguliere gebruiker = local admin: slecht IT beheer
Leerling die iets toevertrouwd wordt om er vervolgens een keylogger op te installeren: tsja, je moet er rekening mee houden... maar strafbaar is het zeker
Inloggevens gebruiken om daadwerkelijk gegevens in te zien en te downloaden: vast een kick om te doen én oh zo dom
Gegevens van anderen op Discord zetten: ... ze voelden zich vast even het haantje toen ze het erop zetten, maar, oh zo dom en strafbaar
En dan niet cijfers aanpassen, want misschien worden we wel gesnapt? Ik vrees dat de leerlingen op deze school geen goed besef hebben van privacy, hoe lang zaken op internet blijven rondzweven, wat de waarde is van die gegevens en wat 'vertrouwen' nu echt waard is.
Wellicht dat niet schorsen maar juist wat extra lesuren hier een betere oplossing zijn.
Een eigen laptop (gezien de admin rechten) waar een leraar werkt op doet en een leraar die zonder supervisie kinderen met zo'n laptop laat spelen...dit zal wel vaker gebeuren in het "nieuwe normaal" zolang er geen sancties tegenover staan.
Dan had dit debacle zeker voorkomen kunnen worden!
Doe nou niet zo over de top. Leerling krijgt laptop van leraar en doet niet zulke handige dingen. Gewoon gesprek mee voeren en klaar.
De AIVD moet zich bezighouden met serieuze zaken als corruptie op de ministeries, of beïnvloeding van de ministeries door buitenlandse intel, of de ontwrichting van de democratie door de (buitenlandse) intel.
Dan had dit debacle zeker voorkomen kunnen worden!
Omdat leraren geen ICT-ers zijn. Net zoals 99,9% van de bevolking. En die zijn niet security minded. Zij hebben andere werkzaamheden en interesses.
Als in: "ICT en security zijn lastig, want daardoor kun je je trucje niet meer doen, en miet je meer hidnernissen nemen"
Nu is het een leraar die deze domme fout maakt. Morgen is het je schoonmoeder of de medewerker van de financiele afdeling of het archief.
Waarom verwachten ICT-ers altijd dan niet ICT-ers overal aan zullen denken of snappen wat ze zouden moeten doen.
Naast deze "security training voor leraren", en al de andere trainingen die beroepsgroepen, ouders en politici vinden dat leraren ook allemaal eigenlijk zouden moeten volgen: wanneer verwacht je dat die leraren dan nog aan hun eigenlijke werk van lesgeven toe zullen komen?
ICT-ers zouden meer moeten gaan nadenken hoe zij de secrity op een handige gebruiksvriendelijke manier (straight out of the box) kunnen inrichten voor niet ICT-ers zodat die hun eigenlijke werk kunnen doen, ivp zelf halve ICT-ers te moeten zijn.
Als je Windows installeert, wordt je dan gevraagd om een Admin én een gebruikers account aan te maken?
Is er bij Windows een optie voor een gasten account standaard aanwezig?
En ja, ik weet dat deze opties er wel degelijk in zitten!
Je kunt de docent een hoop verwijten, maar het OS heeft ook - na al die jaren - ook echt nog wel wat design issues. Het is toch een vrij normaal gebruikersscenario om je laptop even aan een ander te geven om wat werk op te doen. Mijn telefoon kan ik zelfs nog beter en gelaagder dichtspijkeren, en dat is toch echt een veel meer privé apparaat dan een laptop.
Dan had dit debacle zeker voorkomen kunnen worden!
Ik vraag me af waarom er geen verplichting is om je goed te informeren voordat je post op fora?
Dan had dit debacle zeker voorkomen kunnen worden!
"Meneer me laptop is kapot/vergeten en vandaag is proefwerk" - en dan is die ene keus die leerling een 1 geven, en de andere keus een laptop uitlenen : en dan krijg je stank voor dank .
Vroeger moesten ze alleen maar woordenboeken of atlassen lenen.
Als ik dit goed lees zijn de "gekaapte" credentials dus vanaf een andere plek dan de laptop gebruikt.
Van alle (security) fouten die hier bij het lezen van dit bericht door mijn hoofd vliegen schreeuwt er één het hardst:
MFA!!!!!
Natuurlijk moet je een gebruiker geen lokaal admin maken.
Maar ik ken legio situaties waarbij dit niet anders kan.
Laat een gebruiker niet zelf software kunnen installeren, beperk de uit te voeren applicaties. Allemaal standaar security tips die, helaas, niet in elke situatie mogelijk zijn.
MFA implementatie is dit wel en zorgt ervoor dat elke inloggen uniek is en kwaadwillige niets aan de credential gegevens hebben.
Hier moet je kijken naar de IT afdeling, maar eigenlijk gewoon naar de koters. Ikzelf zou bijvoorbeeld dit niet bedenken om te gaan doen.
Hier moet je kijken naar de IT afdeling, maar eigenlijk gewoon naar de koters. Ikzelf zou bijvoorbeeld dit niet bedenken om te gaan doen.
Juistem, de IT afdeling... nogal gevoelige data en het proeft naar geen MFA...
Ook die mensen die roepen leraar geeft account, waarop baseren ze dat... als ik kan booten vanuit USB kom ik elke windows bak in, ook linux momenteel overigens maar dat terzijde.
Ja, de scholieren zijn fout, maar die docent/school heeft de beveiliging absoluut niet op orde.
Niet handig om zijn laptop aan leerlingen te geven,
Hier moet je kijken naar de IT afdeling, maar eigenlijk gewoon naar de koters. Ikzelf zou bijvoorbeeld dit niet bedenken om te gaan doen.
Juistem, de IT afdeling... nogal gevoelige data en het proeft naar geen MFA...
Ook die mensen die roepen leraar geeft account, waarop baseren ze dat... als ik kan booten vanuit USB kom ik elke windows bak in, ook linux momenteel overigens maar dat terzijde.
Niet bij bakken met volledige schijf versleuteling!
Het is geen zwakte van mensen dat we zoveel wantrouwen nodig hebben in IT-beveiliging, dat is een zwakte van IT. Een zwakte waarvan ik niet weet of die oplosbaar is, maar desalniettemin: een zwakte.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.