Schoolportaal Eduroute reset wachtwoorden na mogelijke hack

Kwaadwillenden hebben mogelijk naw-gegevens van leerlingen in het voortgezet onderwijs en middelbaar beroepsonderwijs weten te bemachtigen via het schoolportaal Eduroute. Of er gegevens zijn buitgemaakt, is op dit moment nog niet bekend.

Dat meldt de Stichting Eduroute op zijn site. Inmiddels worden ook alle betrokkenen geïnformeerd. Diensten van Eduroute worden door leerlingen gebruikt om bij digitaal lesmateriaal te kunnen komen. Leveranciers van leermiddelen maken gebruik van de diensten van Eduroute om in te laten loggen op hun online lesmateriaal.

Verschillende leveranciers van leermiddelen, zoals Van Dijk en Iddink, hebben vandaag e-mails rechtstreeks aan leerlingen verstuurd met de melding dat het wachtwoord van de leeromgeving onbruikbaar gemaakt is. Als een leerling probeert in te loggen, krijgt deze het verzoek een nieuw wachtwoord aan te maken.

Dat de leerlingen rechtstreeks worden geïnformeerd, heeft te maken met de vakantieperiode en werd besloten na overleg van Eduroute met een paar nog beschikbare schoolbesturen en de VO Raad. Dat laat Eduroute weten in een e-mail aan de scholen zelf.

Hoe en of de hack plaats heeft kunnen vinden en wie ervoor verantwoordelijk is, is nog niet bekend. Stichting Eduroute heeft een nieuw wachtwoordbeleid ingesteld dat ook geldt voor haar zakelijke klanten. In de e-mail aan leerlingen adviseert Eduroute ook wachtwoorden van andere sites aan te passen, als mensen daarvoor hetzelfde wachtwoord gebruiken.

Door Krijn Soeteman

Freelanceredacteur

Feedback • 15-07-2016 16:49 40

15-07-2016 • 16:49

40

Lees meer

Schoolboekenleverancier Iddink meldt opnieuw datalek
Schoolboekenleverancier Iddink meldt opnieuw datalek Nieuws van 4 juli 2024
Schoolboekenleverancier Iddink is getroffen door ransomwareaanval
Schoolboekenleverancier Iddink is getroffen door ransomwareaanval Nieuws van 14 april 2024
Jonge internetcriminelen werken bij beveiligingsbedrijf bij wijze van Halt-straf
Jonge internetcriminelen werken bij beveiligingsbedrijf bij wijze van Halt-straf Nieuws van 2 februari 2018
Exact Online reset alle wachtwoorden en sluit hack uit
Exact Online reset alle wachtwoorden en sluit hack uit Nieuws van 2 juni 2017
Uitgevers moeten privégegevens van kinderen 'pseudonimiseren'
Uitgevers moeten privégegevens van kinderen 'pseudonimiseren' Nieuws van 27 januari 2015
Basisscholen verstrekken privégegevens kinderen aan softwareontwikkelaars
Basisscholen verstrekken privégegevens kinderen aan softwareontwikkelaars Nieuws van 25 november 2014
Leerlingen opgepakt na installatie spyware op laptops docenten
Leerlingen opgepakt na installatie spyware op laptops docenten Nieuws van 14 februari 2013
Belgische leerlingen hacken scholen om examens te stelen
Belgische leerlingen hacken scholen om examens te stelen Nieuws van 28 juni 2012
InHolland haalt sites offline na hack
InHolland haalt sites offline na hack Nieuws van 26 november 2011
Meer producten en artikelen
Privacy Netwerk en systeembeheer

Reacties (40)

-Moderatie-faq
40
38
16
1
0
0
Wijzig sortering
wica 15 juli 2016 16:51
Waarom was het ook al weer geen slecht idee, deze bedrijven deze informatie te geven?
Informatie die ze helemaal niet horen te hebben?
Anoniem: 217920 @wica15 juli 2016 20:06
Dit gaat inderdaad om informatie die ze helemaal niet horen te hebben, en dat is ook niet nodig.

Het alternatief voor eduroute binnen het voortgezet onderwijs is Kennisnet Entree. Entree ontsluit ook de toegang tot digitale leermiddelen van uitgeverijen, maar biedt dat aan via 'federated' identity providers.
Persoonsgegevens van de gebruikers (leerlingen, docenten, soms ouders) staan daar waar ze moeten staan: in het administratiesysteem van de school of in de ELO. Alleen op dat systeem wordt ingelogd (en worden dus wachtwoorden bewaard), de Single Sign On wordt geboden via SAML2. Een school kan zelfs eigenhandig de 'Identity Providing' opzetten, bijvoorbeeld op ADFS.

Aan de 'Service Provider' (lees: uitgeverij met een digitaal leermiddel) wordt standaard alleen een geanonimiseerd ID en voornaam van de gebruiker meegegeven (voor herhaaldelijke identificatie). Meer attributen meegeven kan ook, maar dan moet de school daar expliciet toestemming voor geven middels een ARP (Attribute Release Policy).

Eduroute daarentegen is een initiatief van de grote distributeurs (VDE, Iddink). Blijkbaar gebruiken zij een centrale database waar wel degelijk persoonsgegevens en (vooruit, versleutelde) wachtwoorden worden opgeslagen. Buiten de 'span of control' van de school, want leerlingen/ouders moeten zelf een account aanmaken (in ieder geval bij van Dijk is mij bekend).

Deze partijen hebben gelukkig wel het Convenant Digitale Leermiddelen van de VO-raad ondertekend waarin de privacy van eindgebruikers enigszins gewaarborgd wordt, en zijn derhalve verplicht om eindgebruikers te informeren over dit soort aanvallen waarbij (mogelijk?) gebruikersgegevens zijn buitgemaakt.

[Reactie gewijzigd door Anoniem: 217920 op 24 juli 2024 04:28]

daredevil__2000 @wica15 juli 2016 17:05
Ik vind dat nogal kortzichtig denken. Scholen nemen zulke diensten af omdat ze het zelf niet kunnen/willen leveren. Leuk om te zeggen dat scholen het maar on-premise moeten gaan draaien maar daar wordt het bij genoeg scholen alleen maar slechter op.

Het lesmateriaal moet anytime anyplace beschikbaar zijn en daar hebben genoeg scholen de infrastructuur niet voor.

Er staat nog helemaal niets omtrent de oorzaak van de hack, dus om met jouw bericht maar direct te suggereren dat het bedrijf nalatig is geweest met de informatie gaat wat mij betreft wat te ver. Voor hetzelfde geld is het een 0day vulnerability van het OS of in iets van de infrastructuur waar ze zelf geen invloed op hadden.
batjes @daredevil__200015 juli 2016 18:27
Het kan gewoon on-premise en dan centraal beheert worden. Dit soort troep hoeft echt niet allemaal aan het internet te hangen.

Een beetje school heeft al een serverruimte/kast waar best wel een systeem bij geplaatst kan worden.

Mocht er dan gehackt worden, is het slechts een school die de lul is of het bedrijf zelf. Niet alle leerlingen (die dit gebruiken) in het land zoals nu dus wel het geval is.
Bazi @batjes15 juli 2016 22:53
Heel veel dingen kunnen juist niet on-premise. Bijv. bij Van Dijk, kunnen leerlingen daar hun boekenlijsten bestellen. Hoe wilde je dat on-premise doen? Dat moet toch bij de leverancier vandaan komen...

Digitale leermiddelen kunnen ook lang niet allemaal on-premise draaien. PO is dat sowieso niet mogelijk, door de rompslomp en de kosten. Die zijn daar veel te klein voor.
VO heeft daar ook echt niet zomaar geld voor, die moeten vaak op elk dubbeltje letten.

En voor de leverancier van de leermiddelen brengt het ook heel veel kosten en problemen met zich mee. Een update doen/bug fixen, en dat voor elke school apart moeten doen? Dat werkt niet.

Nu hebben natuurlijk veel digitale leermiddelen helemaal niet zoveel gegevens nodig van leerlingen. Naam + gebruikersnaam is meestal genoeg.
WillySis
@Bazi17 juli 2016 11:22
Van Dijk stuurt de boeken direct naar het huisadres. In dat geval is het wel handig als ze de NAW gegevens hebben.
Een bedrijf als Schoolmaster vind ik veel gevaarlijker. In hun elektronische leeromgeving staan echt alle gegevens van de leerling, inclusief telefoonnummers van ouders en het bsn nummer en pasfoto. Als dat ooit in handen van kwaadwillenden komt wordt het echt vervelend.

Op het ogenblik is de privacy nog slecht gewaarborgd. Te veel bedrijven slaan veel meer gegevens op dan noodzakelijk en de beveiliging is meestal niet een punt met een hoge prioriteit. Vaak wordt dat één keer geregeld en verder wordt er niet meer naar omgekeken. Als de beveiliging onveilig wordt, blijft deze veel te lang in gebruik.
Ik ben niet voor al te veel regels, maar hier kan best eens wat aan gedaan worden. Als een administratie op internet is aangesloten mogen daar best eisen aan worden gesteld en de verplichting om de beveiliging regelmatig te controleren door een gecertificeerd persoon.
wica @daredevil__200015 juli 2016 18:06
Het lesmateriaal moet anytime anyplace beschikbaar zijn en daar hebben genoeg scholen de infrastructuur niet voor.
Kwaadwillenden hebben mogelijk naw-gegevens van leerlingen...
Ik kan begrijpen dat de school, de infra er voor niet kan(of wilt) onderhouden. Maar dan heeft een extern bedrijf nog niets te maken met de NAW gegevens, van deze leerlingen.

Ik kan me echt niet herhinderen, dat ik de school bewust toestemming heb gegeven, om onze gegevens met een bedrijf te delen.
Ik vind het al een ramp dat ze een appleid, microsoft en een google account moeten hebben, om school te kunnen volgen.
RRRobert @wica15 juli 2016 19:39
Zeker weten dat je die gegevens zelf niet hebt gegeven? Ik heb voor twee weken terug de schoolboeken voor m'n dochter besteld en dus bij van Dijk (die dus ook gebruik maakt van Eduroute) een account aangemaakt. Daarbij dien je dus de nodige info te verstrekken.

Wel kreeg ik vanmiddag een keurige mail, met een verklaring en een toelichting op hetgeen wat er is gebeurd en de stappen die men daarop heeft genomen of nog gaat nemen.
commentator @daredevil__200017 juli 2016 10:48
of omdat ze gedwongen worden omdat software/materiaal dat ze gebruiken alleen beschikbaar is via een bepaalde leeromgeving die weer van dit gebruik maakt.
mgizmo @wica15 juli 2016 16:54
Precies... Kosten he.
Als je dan van een centraal systeem gebruik wilt maken, doe het dan on-premise.

Dit is trend dat niet teruggedraaid lijkt te worden. De kostenfactor is beslissend voor afnemers :(

[Reactie gewijzigd door mgizmo op 24 juli 2024 04:28]

rubyn @wica16 juli 2016 18:12
Het is nog niet eens zo heel vreemd dat ze de NAW gegevens van sommige leerlingen hebben, omdat Iddink de schoolboeken ook bezorgt, en daarvoor moet natuurlijk wel een adres beschikbaar zijn.
Arunia 15 juli 2016 17:07
Wij hebben idd ook via Van Dijk en dus ook EduRoute een koppeling naar onze ELO. Kosten en het gemak.
o_f_course 15 juli 2016 17:12
Ben benieuwd hoe de gegevens versleuteld zijn...
IxFail NL 15 juli 2016 17:15
Hier is het mailtje van van Dijk: http://prntscr.com/btads2
yobikap @IxFail NL15 juli 2016 17:29
Goede site, zodra ik op het linkje klik, krijg ik spam meldingen van Google dat er virus gevonden is op mijn device.

Misschien volgende keer een andere site selecteren.
IxFail NL @yobikap15 juli 2016 17:33
Vreemd dat jij die melding krijgt, het is namelijk gewoon de website van LightShot om printscreentjes te delen.

Maar heb je een andere link als je de prntscr.com niet vertrouwd: http://imgur.com/p1Povmm
Anoniem: 585709 @IxFail NL15 juli 2016 17:34
Best website. Midden in het verhaal krijg je een gratis download button naar een antivirus app. +1
ONiel 15 juli 2016 17:17
Dit verbaast me niks.
In België hebben we ook zoiets genaamd "Smartschool", persoonlijk heb ik gelijk (zonder overdrijven) 3 XSS-fouten gevonden. Ik heb ze al gerapporteerd maar nooit serieus genomen.

Met als gevolg, dat mijn klas het nu wel weet en iedereen even iedereen in de klas zijn schoolagenda ongebruikbaar kan maken, of kan omleiden gedurende een week (de Javascript-injectie blijft in dit geval maar een week - 'tis een aganda -) door gewoon een <img src="/" onerror="CODE"> in te voegen.

Wij doen het natuurlijk bij elkaar voor de gein, maar voor iemand met slechte bedoelingen is het makkelijk om private-schoolgegevens buit te maken.
beknoptebijzin 15 juli 2016 17:05
Ennnn bedankt, kans dat mijn wachtwoord op straat ligt is aanwezig... Nja, ze hebben zo te zien weer kosten uitgespaard. Toppie!
daredevil__2000 @beknoptebijzin16 juli 2016 11:50
Erg negatief allemaal weer. Ook grote bedrijven worden gehacked. In het hele stuk staat niets over dat zij de fout hebben gemaakt.

Ze hebben de accounts toch direct dichtgezet en iedereen geïnformeerd. Of ben jij zo'n IT-er die overal hetzelfde wachtwoord gebruikt? Dat is toch echt je eigen keus om dat risico te nemen en niet die van het bedrijf
Dacuuu 15 juli 2016 17:09
En al die jeugd die het zelfde wachtwoord gebruikt als voor hun Facebook / Gmail..
Peetz0r @Dacuuu15 juli 2016 19:30
Wellicht is dit het moment om hier iets over te leren op school ;)
Technomania 15 juli 2016 17:10
Waarschijnlijk totaal offtopic maar ik wil het toch even kwijt..

Wat is er mis met de oldskool schoolboeken? Aan het begin van het schooljaar je boeken die je in bruikleen had kaften met een leuk velletje kaftpapier? Je de tering sjouwen met je boekentas?

Ben nog maar 37 maar bespeur hier toch écht een generatiekloof. An sich ook wel logisch. De techniek en internet hebben niet stilgezeten maar kan me er geen voorstelling bij maken tbh.

Ontopic: Die info was inprincipe al beschikbaar. Ik huurde mijn lesmateriaal via een boekenfonds dus mijn NAW waren gewoon beschikbaar.

Edit: Typos en warrige tekst

[Reactie gewijzigd door Technomania op 24 juli 2024 04:28]

Wessel2000 @Technomania15 juli 2016 17:13
Vandijk verstuurt "oldskool" schoolboeken, die je in bruikleen krijgt en aan het einde van het jaar weer geeft.

Blijkbaar zit daar echter ook digitaal lesmateriaal bij, iets waar ik zelf nog nooit iets mee gedaan/gehoord van heb. Toch vanmiddag een email ontvangen.
lHawkinl @Technomania15 juli 2016 17:16
Offtopic: Liever een van me passwords op straat die ik zo kan veranderen en nooit voor serieuze dingen gebruik dan 20+kg per dag op me rug dragen 5 jaar lang en later rugklachten hebben.
shadydeath @lHawkinl15 juli 2016 17:21
Daar heb je toch een kluisje voor?
Hup alle boeken erin die dat moment nodig zijn, en dan per pauze de boeken die je tot de volgende nodig hebt pakken.
En zo de dag door, geen te zware tas. lekker licht om mee naar school en huis te nemen.
iceheart @shadydeath15 juli 2016 18:02
CTRL-F werkt vrij belabberd in dode boom-formaat - voor mij was dat al reden zat om er blij mee te zijn PDFjes te kunnen gebruiken.

Afgezien daarvan heb je natuurlijk regelmatig boeken wél thuis nodig, en niet iedereen woont wat je zegt bij de eigen opleidingsinstelling in de buurt...
batjes @shadydeath15 juli 2016 18:35
Genoeg scholen met een gebrek aan kluisjes. De meeste MBO hebben enkel nog "leenkluisjes". En dan 100 kluisjes op 1000 leerlingen....

Ik heb nog nooit een fatsoenlijk kluisje gehad, veel boeken paste er niet eens in tenzij je ze ging dubbelvouwen.
FoccodeJ @Technomania15 juli 2016 17:19
Via via weet ik er iets van, maar pin me er niet te veel op vast, al zal de strekking wel kloppen.

Je hebt een klein gedeelte van de scholen (wordt wel iets groter) dat voornaam gebruikt maakt van tablets. Het grootste gedeelte van de scholen gebruikt nog papieren boeken. Deze worden voor een groot deel bij Van Dijk besteld. Leerlingen hebben echter een online account om aan te geven welke boeken zij precies nodig hebben. Ook staat hier her contract etc in en volgens mij ook telefoonnummer, adresgegevens en van dat soort klantgegevens. Het is dus niet zo dat de boeken zijn gehackt, maar vooral de klantgegevens.

Het verschil met oldschool is dus dat scholen niet meer verantwoordelijk zijn voor de boeken. Dat is chill als je bijvoorbeeld een jaar hebt met extreem veel leerlingen die een bepaald vak kiezen, dan hoef je niet 10 nieuws boeken te kopen die vervolgens nooit meer gebruikt worden. En her is gewoon minder werk om niet meer de nieuwste versies en methodes in de gate te hoeven houden.

[Reactie gewijzigd door FoccodeJ op 24 juli 2024 04:28]

CAPSLOCK2000
@Technomania15 juli 2016 17:30
Wat is er mis met de oldskool schoolboeken? Aan het begin van het schooljaar je boeken die je in bruikleen had kaften met een leuk velletje kaftpapier? Je de tering sjouwen met je boekentas?
<knip>
Ontopic: Die info was inprincipe al beschikbaar. Ik huurde mijn lesmateriaal via een boekenfonds dus mijn NAW waren gewoon beschikbaar.
Je hebt zelf het antwoord gegeven op je vraag. Het probleem is het boekenfonds waardoor boeken soms wel meer dan tien jaar achter elkaar gebruikt worden. Uitgevers hebben liever dat je ieder jaar een nieuw boek koopt. Digitale omgevingen bieden die mogelijkheid. Als student krijg je een gebruikersnaam en wachtwoord en die zijn 1 jaar geldig, daarna vervalt je toegang en moet je opnieuw betalen.
Om te voorkomen dat meerdere leerlingen dezelfde account delen worden ze zoveel mogelijk gepersonaliseerd en moeten er zoveel mogelijk opdrachten en examens online worden gedaan.


Vanuit de school gezien is het voordeel dat je de voortgang per student tot in detail kan volgen. Je kan precies zien hoeveel en hoelang ze inloggen, waar ze mee bezig zijn, of ze een toets misschien onwaarschijnlijk snel maken of er juist heel lang voor nodig hebben. Nakijken is ook een stuk makkelijker als de computer dat voor je doet.

[Reactie gewijzigd door CAPSLOCK2000 op 24 juli 2024 04:28]

Technomania @CAPSLOCK200015 juli 2016 17:37
Bedankt voor je uitleg. Duidelijk en logisch. Zo had ik het nog niet bekeken.

edit: toevoeging.

Toch betwijfel ik het of het een goede manier lesgeven is. Zoals ik het nu begrijp is het klassikale weg. Dus niet samen meer huiswerk maken in de pauze? Iedereen druk met tablet of laptop?

Dat komt het sociale aspect niet ten goede. Maar dat is mijn mening

[Reactie gewijzigd door Technomania op 24 juli 2024 04:28]

Bazi @Technomania15 juli 2016 22:24
Het moet nooit klassikale lessen vervangen nee. Elk leermiddel heeft daar weer een eigen weg in. Het kunnen gewoon simpel oefeningen zijn die de leerlingen thuis of op school (bijv. 1 uur per week) maken. Het kan ook meer een complete lesmethode zijn. Juist omdat het digitaal is en leerlingen thuis ermee bezig kunnen zijn, heb je op school in de klas tijd voor de leukere dingen.
jpsch @Technomania15 juli 2016 18:02
Als je je boeken kocht, moesten ze ook opgestuurd worden. Dus was je NAW ook bekend.
batjes @Technomania15 juli 2016 18:30
Waarom oldskool schoolboeken? Kost klauwen met geld. Wordt beheerd door een louche bedrijf genaamt "Van Dijk Educatie" (Ik heb er veel gewerkt, het is echt naaiballerij daar).

Boeken die stuk kunnen gaan, gejat kunnen worden, kwijt geraakt kunnen worden of gewoon beschadigt. Daarnaast weegt een tas vol boeken zodanig veel dat je er een quasimodo rug aan overhoudt.

Oh het leuke boeken kaften, geen idee, maar op een paar meiden na, vond niemand dat echt leuk of interessant, maar eerder kut.
Iblies @batjes15 juli 2016 18:57
Boeken kosten geen klauwen met geld,
als je ze in grote getalen drukt kosten ze zelfs praktisch niets. Extreem voorbeeld is dat romannetje bij de action voor €3,- heb je nog inhoud nodig, maar het papier en aan elkaar plakken kost praktisch niets.

Je hebt een probleem met rechten die betaald moeten,
ten eerste heb je de schrijvers, die vaak leraren zijn, ten tweede heb je de drukkerij die 'verantwoord' boeken wil drukken.

Zo zijn er wel tig boeken waarvan ik me afvraag waarom die 40/50 euro moeten kosten. Datgene wat leerlingen als niveau moeten kennen staat redelijk vast. Wiskunde is bijvoorbeeld een vak dat toch echt niet elk jaar veranderd en er zijn meer vakken waarvan je afvraagt waar dat geld naartoe verdwijnt.

Voor bepaalde kennis heb je al die pracht en praal niet nodig, zal eerder afleiden dan dat het toegevoegde waarde heeft.
batjes @Iblies15 juli 2016 19:06
Nee klopt, de boeken zelf kosten vandaag de dag geen hol meer (al vele jaren niet meer overigens). Ook de rechten zijn niet zo kostbaar.

Waar dat geld naartoe verdwijnt? Van Dijk Educatie, Malmberg etc.
douwedb 15 juli 2016 17:14
Ik had al een mailtje gehad maar wist nog niet waarom... Nu wel!
PDZ 16 juli 2016 12:53
Ik heb zojuist ook een mail gekregen

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq