Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 197 reacties

Een Nederlandse student heeft in het Student Information System dat de UvA en de HvA gebruiken, een lek ontdekt waarmee hij op eenvoudige wijze persoonsgegevens en foto's van meer dan 500.000 medestudenten kon binnenhalen.

De student software-engineering Nelson Berg liep tegen de kwetsbaarheid aan toen hij zich wilde aanmelden voor een examen. Hij ontdekte door simpelweg naar de bron te kijken dat alle namen en studentnummers te scrapen waren via een url in een verborgen div op de site https://sis.hva.nl. Door vervolgens de parameter {StudentIdentifier} aan te passen, bleken ook de foto's en telefoonnummers van de studenten geautomatiseerd binnengehaald te kunnen worden.

Via het lek kon hij 385.000 namen en studentnummers, 200.000 telefoonnummers en 130.000 foto's van HvA-studenten downloaden. Via het systeem van de UvA lukte dat voor 237.000 namen en id-nummers, 131.000 telefoonnummers en 63.000 foto's. Berg vermoedt dat meer universiteiten van de kwetsbare SIS-implementatie gebruikmaken.

Na de melding tijdens Pinksteren aan het CERT-UvA zijn de kwetsbaarheden op 17 mei, een dag later, verholpen. De UvA bevestigt de lezing van Berg, maar meldt dat SIS de kwetsbaarheid niet meer bevat. "Wij nemen inderdaad SIS af en hebben de leverancier op dezelfde dag dat we de melding kregen op de hoogte gesteld. Daarnaast hebben we ook de overige universiteiten ingelicht en ook daar is het lek gedicht", zegt een woordvoerster tegen Tweakers. Vooralsnog heeft de UvA studenten en medewerkers niet ingelicht over het lek. De UvA zegt geen aanwijzingen te hebben dat het lek misbruikt is, zodat een melding niet nodig leek.

"Alleen van mijn ip-adres ging het om miljoenen requests bij het binnenhalen en er zijn geen alarmbellen afgegaan", zegt Berg tegen Tweakers. "Je zou denken dat ze het monitoren. Waarschijnlijk zit het lek er al vanaf het begin in. Ze kunnen niet met zekerheid zeggen dat het niet is misbruikt, denk ik." Berg is parttime pentester. "Ik heb een iets grotere achtergrond wat dit soort zaken betreft, maar in tien minuten had ik de twee lekken gevonden, terwijl ik me alleen in wilde schrijven. Ik zag een nummer in een parameter van een url dat sterk op mijn studentnummer leek. Daarna kon ik een scraper in Python schrijven om de gegevens te downloaden." Volgens de student is het onverantwoordelijk dat het systeem een dergelijk lek kon bevatten. "Normaal zie je dit alleen in systemen die nog niet live staan."

Met de invoering van SIS door Oracle/Atos was vanaf 2004 voor de hogeschool 14,6 miljoen euro en voor de UvA 25 miljoen euro gemoeid, zo becijferde Folia Magazine in 2012.

Berg beschrijft de details van het lek op de pagina van zijn it-bedrijf, BinaryIT.

StudentdataPixelated UvA

Moderatie-faq Wijzig weergave

Reacties (197)

Sjongejonge. Flink wat miljoentjes studiefinanciering ingepompt, pakket reeds 12 jaar oud, en dan nog dit soort onzin ;-)

"We hebben de leverancier op dezelfde dag dat we de melding kregen op de hoogte gesteld"

Kijk mamma, ik ruim braaf mijn speelgoed op.
Wat had je liever gelezen? dat ze alles ontkennen? Dat ze de student in kwestie schorsten wegens diefstal van gegevens?

Neen het is niet netjes dat het kon, en het klinkt erg lullig dat het op die manier kon, maar eens het lek gekend was is wel onmiddellijk actie genomen.
Wat ik bedoelde aan te geven was dat ik een bepaalde mentaliteit bespeur.

2004: we hebben -een- softwarepakket gekocht met servicecontract, dus wij zijn goed bezig
2016: we hebben het lek doorgegeven, dus wij zijn nog steeds erg goed bezig.

Ik hoor alleen maar: 'wij hebben aantoonbaar de juiste stappen genomen en ons valt niets te verwijten'.

Ik werk zelf op een universiteit en begin langzaam het gebrek aan verantwoordelijkheid te begrijpen. Ik werkte daarvoor altijd in kleine teams en mijn mond valt er gewoon van open soms.

Wij hebben zelf op dit moment een veiligheidsissue binnen een van onze experimenten. Het kan gevaarlijk zijn voor proefpersonen. Ik kaart dat aan, uberhaupt begint er verder niemand over. De medisch ethische commissie had het immers toch goedgekeurd? Vervolgens bespeur ik dan de tendens: als we kunnen laten zien dt we een oplossing hebben gerealiseerd, dan is het dus ook goed. Het gaat er dus, in werkelijkheid, niet om dat er een werkende oplossing is gekomen, maar dat je kunt bewijzen dat je goed gehandeld hebt. Het doel is niet meer om veiligheid te garanderen voor proefpersonen, maar om te kunnen aantonen dat je je verantwoordelijkheid hebt genomen, tegenover anderen.

In die woorden 'op de dag dat we de melding kregen' die in de reactie zit ruik ik diezelfde mentaliteit. Het haalt je de koekoek dat je dat doet op de dag dat je op de hoogte gesteld wordt van zo'n lek ja. Denk je nou echt dat er iemand daar op die afdeling zit die zich ook hier maar een haartje aan stoort? Dat 'op dezelfde dag' is er zeer bewust ingezet. En dat is echt niet gedaan, begin ik te vermoeden, omdat ze daarmee willen voorkomen dat er privegegevens uitlekken, maar om te kunnen laten zien dat ze adequaat gehandeld hebben en dat ze niks te verwijten valt. Ik steek er mijn hand voor in het vuur.

Of inderdaad zoals hieronder wordt geformuleerd door Artgod:

""Nee, er is geen probleem want het is gefixed." Weer zo'n typische NewSpeak PR reactie.'

[Reactie gewijzigd door Znorkus op 20 juni 2016 15:45]

Welkom in de wondere wereld van IT: Waar Cover Your Own Ass het aller belangrijkste is.

Zie ook:
We hebben support.
We kopen alleen Microsoft
Etc. etc.

Om moe van te worden.
ja, dat krijg je met kant en klaar software met een dure support abonnement. mag niks aangepast worden, het werkt dus het zal wel goed zijn. totdat een student het effe hacked.
Maar.. er is niks gehacked? dat is het hele probleem. De student heeft nergens hoeven inbreken om deze gegevens te krijgen.
Het is wel gehacked, hacken is heel simpel het gebruiken van dingen waar ze niet voor bedoelt zijn. Dat is hier duidelijk gebeurd. Het hacken van iets staat niet gelijk aan ergens inbreken.
Als jij een pin automaat maakt die een rekeningnummer vraagt in plaats van een pas en geen pincode, en iemand bedenkt dat je ook het rekeningnummer van de buurman kan invullen, valt het dan onder hacken?

Dit is gewoon een open deur, en hij heeft het netjes gemeld.

Als hij allerlei sql injects moest doen en diep moest graven in de werking van de onderliggende systemen, of zelfs een mannetje heeft binnen de leverancier die de lekken kent, dan praat je wel over hacken.
Je hebt gelijk in de woordenboek definitie van de hedendaagse "life hack" e.d.
Voor mij betekent een hack op een systeem echter toch nog steeds een inbraak. Maar majetta heeft het woord inderdaad correct gebruikt.
het is /juist/ de oude definitie. Die nieuwe definitie waarbij hacken slechts wordt gezien als het breken van beveiligingen ergeren vele anderen en ik ons al jaren over.

Hacken komt vanuit MIT toen studenten besloten een netwerkkaart aan te passen zodat deze sneller liep en ze dit hacken noemden
Woorden hebben meerdere betekenissen. Het heeft dus geen zin om te roepen dat het gebruik niet overeenkomt met betekenis #1 als iemand het bedoelt in de zin van #2, of andersom.
En wat betreft de 'originele' betekenis, dat is:
1. Soms niet meer vast te stellen
2. Bij een inhoudelijke discussie volstrekt irrelevant.
Ik reageer juist op iemand die claimt dat de betekenis zoals die gebruikt wordt door een persoon waar hij op reageert niet meer overeenkomt met wat hij gewent is ;)
Gewoon op school geleerd hoor. :)
Ik ging er vooral op in omdat de meerderheid bij IT gerelateerde "hacks" toch wel snel aan ergens inbreken denken. (ikzelf persoonlijk ook nog)

Los van die reden maar daarbovenop mijn persoonlijke afkeur in de trend van alles maar een hack noemen (zoals iemands wachtwoord raden, of een slim trucje om geen traanoog te krijgen bij het snijden van uien). Maar dat is natuurlijk ook weer persoonlijk. Vandaar dat ik achteraf Majetta gelijk geef.
Niks kant en klare software. Afgaande op de URL's gaat het om PeopleSoft Campus Solutions, wat een product is ontwikkeld met PeopleTools. Maar je kan daar dus wel aan zitten sleutelen (makkelijk, zolang je binnen de PeopleTools context blijft).

Ik vermoed dus dat het gaat om een algemeen PeopleSoft probleem. Dus als iemand eens wil proberen met een paar andere instellingen die hun implementatie publiek toegankelijk maken...
Ik denk dat het wat anders ligt. Moet de fix ook niet vanuit de leverancier komen?
Dan is het dus wel nodig om die ook op de hoogte te stellen en niet slechts ter info van: kijk ons eens goed zijn, zoals jij nu stelt met je voorbeeld.
Sjongejonge. Flink wat miljoentjes studiefinanciering ingepompt, pakket reeds 12 jaar oud, en dan nog dit soort onzin ;-)
Het project heeft wel meer problemen gehad en is al een paar keer in het nieuws geweest omdat het zo uit de klauwen is gelopen. De universiteiten zouden wel wat anders willen maar het geld is op.

https://universonline.nl/...rijfsysteem-is-ict-misser
https://havanaweb.hva.nl/...oekt-alternatief-voor-sis
https://www.computable.nl...it-peoplesoft-fiasco.html
"We hebben de leverancier op dezelfde dag dat we de melding kregen op de hoogte gesteld"

Kijk mamma, ik ruim braaf mijn speelgoed op.
Wat hadden ze nog meer kunnen doen? Met closed source zit je nu eenmaal vast aan de leverancier en kun je niks zelf doen.

[Reactie gewijzigd door CAPSLOCK2000 op 20 juni 2016 21:09]

Was het nou echt nodig om al die data binnen te laden vraag ik me dan af.
Ja? Er moet eerst een dode bij een kruispunt vallen alvorens er drempels of stoplichten worden geplaatst |:(
Bij dit soort instanties idem. Misschien was de omvang wat groot,maar juist daardoor worden mensen wakker tegenwoordig.


Edit: ik geef hiermee niet aan dat ik het eens ben met de gang van zaken O-)

[Reactie gewijzigd door Sugocy op 20 juni 2016 15:18]

Om aan te tonen wat de impact is mogelijk wel ja.
Als je alleen kunt zeggen ''het is mogelijk om'' In plaats van kunt aantonen wat voor data en hoeveel je wel niet hebt kunnen bemachtigen door middel van het lek, komt je verhaal een stuk beter over natuurlijk en zet het aan tot het snel nemen van maatregelen, zoals ook gebeurd is.
Ook ik ben van mening dat dit overbodig was.
Hij had het lek ontdekt, en had dit kunnen aangeven.

Eerst zo veel mogelijk data binnen halen is in deze onnodig als je het mij vraagt.
Ja natuurlijk.

Er is een groot verschil tussen "alle gegevens" zonder problemen en "na x pogingen greep de monitoring systeem in en worden verdere pogingen geblokkeerd".

Nu is er bewezen dat er niet alleen een lek is, maar ook een tekortkoming in detectie van vreemde activiteiten.
Ben ik de enige die het gek vind dat er momenteel "maar" 80.000 studenten ingeschreven staan bij beide instellingen en er gegevens van meer dan 500.000 studenten zijn bemachtigd? Gegevens van ex-studenten mogen toch niet zolang bewaard worden?
De universiteit is (wettelijk) verplicht om gegevens te bewaren over oud-studenten die een diploma hebben gehaald, werkgevers kunnen bijvoorbeeld bij de universiteit toetsen of iemand wel echt een diploma heeft gehaald. Daardoor heeft de universiteit ook het recht om die gegevens te bewaren ("mag alleen maar als het wettelijk moet" type spelregel).
Begrijpelijk, maar deze gegevens hoeven natuurlijk niet in het sis informatiesysteem te blijven staan (die verbonden is met het internet).
Dat moet omdat de vergunning die afgegeven wordt voor het opslaan van deze gegevens alleen geldt voor SIS en bijvoorbeeld HR, niet voor andere systemen. Daar mag je dan wel weer voor- en achternaam gebruiken (mailsystemen) maar BSN is strikt verboden terwijl dat wel weer nodig is voor studiegegevens.

Ik vermoed dat dit lek er bewust in is gebouwd, op Hogeschool IJsselland was dat ook zo.
Afhankelijk van het type document kan het minimaal 1 en maximaal 30 jaar bewaard worden:

https://www.rug.nl/fwn/se...t-vak/bewaartermijnen.pdf
We hebben gelijk z'n website plat gekregen met onze nieuwsgierige ogen. RIP BinaryIT.

Wel apart dat ze open en bloot de student ID nummers gebruiken. Iets te gevoelig lijkt me?
was dus niet de enige die geconfronteerd werd met 'Database Error' op meerdere paginas xD
Direct over z'n bandbreedte limiet heen }:O
Het leek er op staat er letterlijk, niet dat ze exact hetzelfde zijn. Mogelijk is het dus nog wel iets aangepast of aan toe gevoegd maar als je zelf een studentnummer hebt is de oorsprong dus wel te achterhalen.
Heb even de server geupgrade, hij is zo weer online :)
Bijzonder slordig dat dit soort fouten er in zitten, ik ben benieuwd of dit gevolgen gaat hebben voor ze. Dit zou een mooie eerste zaak kunnen zijn voor de Autoriteit Persoonsgegevens om hun tanden eens te laten zien.
Bijzonder slordig dat dit soort fouten er in zitten, ik ben benieuwd of dit gevolgen gaat hebben voor ze. Dit zou een mooie eerste zaak kunnen zijn voor de Autoriteit Persoonsgegevens om hun tanden eens te laten zien.
Ergens wel, maar ik denk niet dat ze hier mee gaan beginnen. De universiteit en de leverancier hadden geen kwade bedoelingen en hebben onmiddellijk gereageerd op de melding. Daarmee doen ze het eigenlijk best goed, op veel plekken is het helaas veel slechter gesteld.

Ik denk dat de eerste zaken gevoerd gaan worden tegen partijen die willens en wetens nalatig zijn geweest, niet tegen partijen die van goede wil lijken te zijn.

Natuurlijk hoop ik dat op termijn de lat wat hoger komt te liggen en ook dit soort zaken bekeken kunnen worden maar nu lijkt me nog te vroeg, er zijn te veel andere zaken die het veel harder nodig hebben.
Aan goede bedoelingen heb je niets!

art. 13 Wbp:
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.
Dit lijkt me een prima eerste geval. Natuurlijk zijn er nog belangrijkere zaken maar hier een keer doorpakken, zeker gezien de hoeveelheden, lijkt me helemaal niet overbodig. Je zal toch een keer moeten aanpakken en er niet al te lang mee wachten. Kijk maar eens wat een rechter er van vindt.

Meteen een mooie case voor hun rechtenstudenten :)
Meteen een mooie case voor hun rechtenstudenten :)
Des te meer reden om het niet te doen. De AP heeft maar een beperkt budget, dat zal worden ingezet waar het meeste bereikt kan worden. Juridische spelletjes spelen met studenten is een bodemloze put, daar kun je geld in blijven gooien.

De vraag is ook wat er nog bereikt kan worden in dit geval. De AP is er niet om boetes uit te delen. Boetes zijn er om bedrijven te dwingen om mee te werken. Als ze al meewerken dan zullen ze niet snel gestraft worden.
Onmiddelijk gereageerd, maar wel potentieel 12 jaar nadat het lek is geprogrammeerd? Wat op zijn beurt 5 jaar was nadat een soortgelijk lek ontdekt en 4 jaar nadat een soortgelijk lek verholpen was aan de TU Delft?

Het had dus bekend kunnen zijn, en in die 12 jaar heeft iedereen met een half brein en/of kennis van de eerdere problemen met een vergelijkbaar systeem aan de TU, het lek vrijelijk kunnen misbruiken zonder er iets van te zeggen en zonder dat het opgemerkt is.

Lijkt me ernstig genoeg.
Ik ben in het systeem van mijn school ook wel het een en ander tegen gekomen. Als je op een bepaalde pagina je studentennummer invoert, wordt de rest van je gegevens (adres, email, telefoonnummer) automatisch aangevuld. Nooit wat mee gedaan, omdat ik er toch zeker van ben dat er niks met zo'n melding gebeurt.
(goed bedoelt) advies, meldt het wel aan, dan doe jij tenminste jou ding goed.
Als zij er dan niets mee doen, is dat hun verantwoordelijkheid.
Met de meldplicht datalekken is men wel geneigd/verplicht om op dit soort meldingen in te gaan.
Mijn school kennende zouden daar wel eens negatieve gevolgen uit kunnen volgen, en zeker nu ik afstudeer ga ik dat niet riskeren.
Dat lek klinkt nogal arbitrair, dat mag geen impact hebben op je afstuderen.
Misschien nog wel handig om ff z'n eigen website te hardenen,
https://ibin.co/2lK9ou5Roj4u.png
disable directory index
servertokens prod
enz...
Beetje genant/ironisch dit.
Blijkbaar heeft een wordpress plugin die je toestaat zelf urls voor je posts in te stellen, het .htaccess bestand overschreven, daar stond eerst wel de optie "Options -Indexes" in.
Het is gefixed nu, Bedankt voor de melding :)
Jammer dat er zo afgereageerd word op Nelson Berg.
Behalve dat hij het eigenlijke lek detecteert, geeft hij ook nog aan dat er eigenlijk een tweede fout zit in het systeem die het mogelijk maakt dit soort gegevens op te vragen binnen een korte tijd vanaf 1 locatie/ip.
Lijkt me een kleine moeite op in dit soort systemen met persoon gegevens te voorkomen dat een database van afstand word leeg getrokken.

Anyway ben benieuwd hoe lang er misbruik gemaakt is van dit lek en in hoevere je wat hebt aan dit soort gegevens voor kwaadwillige doeleinden.
Slechte zaak ook dat dit soort zaken bij een grote firma als Oracle mogelijk zijn. Of het ligt aan een oplossing die voor teveel geld is gekocht bij een bekende dure firma waarbij er geen geld meer was voor een beetje support en customization. Verkeerde keuzes dus.
Niet de juiste manier van testen. Ik zie al een paar keer dezelfde reactie van jou voorbij komen, dus nu toch maar even reageren:
Er bestaan een soort trusted/cached/net hoe je het noemen wilt verbindingen. Als hij zijn thuiscomputer als trusted aangegeven heeft binnen het netwerk van de UvA, dan kan het zijn dat een limiter uitgeschakeld staat als hij continu (430.000 keer) zijn eigen gegevens download.
Immers, de computer is geverifieerd met dat account. Zie het als een soort 2factor authentication waarbij je kunt aangeven de komende maand opgeslagen wilt blijven, zelfde principe. Dat je 430.000 keer je eigen gegevens download is dan alleen vervelend voor de load op de server (dit is overigens een andere test).

Nelson heeft op de goede manier getest, want het is specifiek en meetbaar.
Had jij in jouw geval 430.000 keer je eigen gegevens gedownload, dan is er misschien nog geen sprake van een lek, omdat het mogelijk moet kunnen zijn om je gegevens onbeperkt te downloaden. Bij de situatie 5 vrienden versus alle studenten werkt 5 vrienden ook niet, omdat hij hier de monitoring wilde testen. 5 verschillende personen in X tijd is over het algemeen niet opvallend, tegenover 430.000 wat opvallend MOET zijn.
Het was helemaal niet relevant hoeveel keer hij kon downloaden.
Het was voldoende om te melden dat er een lek was en dat hij de gegevens van elke willekeurige student uit kon vragen en dat met een kleine steekproef aan te tonen.

Bij het informeren van de media had hij eventueel aan de media kunnen aanbieden om de gegevens van een paar nummers waarvoor die media toestemming gevraagd hadden op te vragen

Het was absoluut niet nodig om alle gegevens te downloaden.
Ben het volledig met je eens dat het niet nodig was om alle gegevens te downloaden.

Echter, in het artikel wordt aangegeven dat Berg zich verbaasd over dat er bij het downloaden van zoveel data binnen een X tijd geen alarmbellen zijn afgegaan.
JCE gaf in n van zijn reacties aan dat je net zo goed bij 5 vrienden had kunnen checken en dan te stoppen. Ik probeerde met mijn post alleen aan te geven, dat op 5 vrienden testen geen solide manier van testen is als je alarmbellen wilt laten afgaan bij eventuele systeemmonitoring.

Nogmaals, ben het met je eens en ergerde me meer aan JCE die overal commentaar op had ;) Post van David Mulder geeft aan waarom het eigenlijk beter was geweest te stoppen na het ontdekken van het lek ;)
Goed gedaan, hopelijk geeft de HvA / UvA je een pluim ipv een sanctie ;)
Heel het Student Information System is een grote ramp. Zowel voor de studenten als de docenten. Inschrijven voor vakken, tentamens en minoren gaat via een externe lijst met codes, want selecteren via het systeem zelf werkt niet. Zelfs met de codes kun je je vaak niet inschrijven voor tentamens of minoren. Deze komen gewoon in je "winkelmandje", maar je kunt ze vervolgens op geen enkele manier bevestigen waardoor je niet ingeschreven staat. Daarbij kunnen docenten vaak het cijfer niet invoeren, omdat het verkeerde vak laat zien bij een student. Zo kan het zijn dat je wel alles gehaald hebt, maar dat de cijfers in SIS missen of onder een compleet verkeerd vak staan (of juist vak, maar verkeerde richting/leerjaar; en daardoor op de eindlijst niet wordt vermeld), wat maanden kost om recht te zetten omdat niemand de bevoegdheid heeft. Klopt het in SIS niet, kun je je diploma niet aanvragen.

SIS heeft de HvA en UvA samen tientallen miljoenen gekost, en het werkt gewoon niet naar behoren. Dat het vol met lekken zit verbaast mij dan ook niet. Dit is trouwens ook niet het eerste lek wat aan het ligt gebracht is, je kon voorheen ook inloggen als een andere student door de URL te veranderen. Ze hadden er nooit aan moeten beginnen. De vorige situatie waarbij het inschrijfsysteem en cijferadministratie losse systemen waren werkte perfect. Onder de IT docenten op de HvA speelt dan ook de grap dat wanneer ze het door IT-studenten hadden laten maken er zeer waarschijnlijk een veel beter systeem uit was gekomen.
Owja, vergeet ook niet dat je je winkelwagen kunt afrekenen om je bestelling te kunnen bevestigen. :o Wie heeft dat ooit verzonnen ? }:O
Klinkt alsof iemand de UvA voor veel geld een eCommerce app als SiS aangesmeerd heeft..
Link naar handleiding met de daadwerlijke teksten:
https://student.hva.nl/bi...uitschrijvententamens.pdf gevonden via google.
Courses zouden ook betaald kunnen zijn. :)

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True