Student achter UvA-HvA-datalek vindt opnieuw lekken in systeem HvA

De Nederlandse student Nelson Berg, die eerder al een lek vaststelde in de systemen van de UvA en de HvA, heeft opnieuw verschillende lekken gevonden bij de HvA. Hierdoor waren de gegevens van 93.000 studenten inzichtelijk via de digitale leeromgeving DLWO.

Berg schrijft in een blogpost dat het bij de gegevens gaat om namen en gebruikersnamen van studenten, inclusief de afdeling waar zij aan toebehoren. De gegevens zijn verkregen uit vier verschillende lekken. Een daarvan zit in een systeem om te communiceren met medestudenten. "Het is een soort live-feed, waarmee je berichten kunt sturen naar anderen", legt Berg aan Tweakers uit. Dat systeem vult automatisch de naam aan van een student als er een aantal letters zijn ingevoerd. Door een speciaal opgesteld verzoek te sturen kon Berg een grote hoeveelheid namen achterhalen.

Bij de andere drie lekken ging het om SharePoint-endpoints, die ingeschakeld bleken te zijn. Ook hier was het mogelijk om gegevens te achterhalen. "Ik had een boek over SharePoint gelezen en aan de hand daarvan ging ik aan de slag", aldus Berg. Zijn laatste bevinding betreft de mogelijkheid tot het achterhalen van wachtwoorden door brute force. Er bleek namelijk geen maximum aan het aantal inlogverzoeken te zijn gesteld. Aan de hand van de eerder gevonden gebruikersnamen is het voor een aanvaller eenvoudig om op die manier een account binnen te komen, zo zegt de student. Ook een phishingcampagne behoort tot de mogelijkheden.

Hij heeft de verschillende lekken eind mei aan de Hogeschool gemeld. Een oplossing voor alle lekken was er op 25 juli, het brute force-lek was al eerder gedicht. Berg noemt in de blogpost dat er snel op zijn communicatie werd gereageerd en dat er informatie is verstrekt aan de studenten. Wel had hij het vermoeden dat in eerste instantie alleen zijn eigen account was uitgesloten van toegang tot de gegevens; later werd dit door de school bevestigd. Ook zou het systeem niet uitgeschakeld zijn tot de patches beschikbaar waren, waardoor de gegevens onnodig lang waren blootgesteld.

IT-banen

Reacties (122)

xleeuwx 1 augustus 2016 14:50

Het hele uitrol en configuratie van DLWO is een aanfluiting geweest, na een update waren alle rechten weg en konden wij ons huiswerk niet inleveren. De andere systemen ware niet veel beter neem SIS (Student Informatie Systeem) bijvoorbeeld:
je moest je examen in je winkelwagen plaatsen? daarna krijg je een foutcode dat er iets fout gegaan is bij de betaling (was niks te vinden dat je moest betalen om je examen te reserveren).

Beide gevallen heeft het niks met de gebruikte software te maken maar meer met de manier hoe het geconfigureerd / geïmplementeerd is.

[Reactie gewijzigd door xleeuwx op 22 juli 2024 18:36]

Tok Tok @xleeuwx • 1 augustus 2016 15:06

SIS heeft miljoenen gekost en het werkt verschrikkelijk slecht. Leraren moeten cursussen volgen om te begrijpen hoe het werkt. Het is belachelijk hoe slecht de HvA hier mee om is gegaan en je kunt wel stellen dat het bedrijf hierachter geen verstand van zaken heeft (zacht uitgedrukt).

DLWO is net zo'n grote trol. Het werkt nog steeds traag en heel onlogisch, er iets op vinden is altijd uit een uitdaging en je kunt aan de hele website zien dat het een bij elkaar geplakt zooitje is. Dit heeft eveneens heel veel geld gekost, ik weet zo snel niet hoeveel.

Wij studenten betalen 1900 euro schoolgeld per jaar en het is zeer triest om te zien dat het op deze manier wordt besteedt terwijl er zoveel andere dingen die verbeterd kunnen worden binnen de school.

Sorry voor mijn klaagbericht maar dit is 4 jaar ergernis wat even gezegd moet worden.

Headblast @Tok Tok • 1 augustus 2016 15:26

Snap niet waarom ze niet voor Osiris kiezen icm een goede sharepoint leverancier en office 365. Kan je als organisatie nog kiezen voor een cloud oplossing van Osiris of een on-premise.

Kan gewoon niet geloven dat ze de end pointers van sharepoint zonder een maximum aan inlogverzoeken hebben ingesteld. Zal wel op een brakke maandag zijn geïmplementeerd want normaal hoort dit echt niet.

Die boete zal nu wel komen vanuit de overheid

Anoniem: 636203 @Headblast • 1 augustus 2016 16:18

Laat ze gewoon een open-source systeem ontwikkelen op basis van .NET of Java waarbij ze functioneel architecten de requirements laten opstellen. Of laat een NL bedrijf het ontwikkelen op voorwaarde dat de broncode openbaar is en onder de GLPv3 valt.

TeleMax @Anoniem: 636203 • 2 augustus 2016 09:25

Mijn vriendin studeert aan de grootste universiteit in Tsjechië. Ze hebben daar zes jaar geleden Moodle uitgerold met een aantal studenten informatica. In het begin dacht ik "wat cute", maar ze doen er echt alles mee en er zijn vrijwel nooit klachten. Hele uni-werk ermee en ik als gast-docent sinds een tijdje ook. Het hoeft allemaal niet zo vreselijk duur te zijn, ook in Nederland niet.

We werken nu aan een implementatie van GNU-Health op de medische faculteiten.

timmie1 @Headblast • 1 augustus 2016 17:24

Osiris is helaas ook niet waterdicht en de werking ervan laat ook te wensen over. Zo crasht dat systeem regelmatig als er een klas tegelijk mee bezig is en zo was er een mogelijkheid om als student ingelogd ongeoorloofd dingen van docenten in te zien.

Headblast @timmie1 • 1 augustus 2016 19:11

Dan denk ik dat ze wel een heel verouderde versie hebben want toen ik nog op school zat en we werkte ermee toen konden we prima voor examens werken met Osiris.

De online versie heb ik nu een koppeling mee voor ons bedrijf en die hebben nu gewoon schaalbare servers draaien die tijdens piek uren bij geschroefd worden.

Dat Hva registratie portaal is pas een nachtmerrie, ze noemde het blackbook maar werkelijk waar je kon eerst een masterclass volgen voordat je door had hoe het allemaal werkte

RagingPenguin @Headblast • 1 augustus 2016 19:17

Bij de variant die op het HRO draait zie je regelmatig dikke Java exceptions over het scherm vliegen. Het is mischien beter als de rest, maar dat is dan ook alles. Gelukkig begint Google Classroom steeds meer op te komen, dat is tenminste een systeem dat werkt. Alleen mist het helaas wel heel veel features en staat de ontwikkeling ook bijna stil.

WhatsappHack

Netwerk en systeembeheer
Security
Datalek

@Headblast • 3 augustus 2016 14:31

Osiris werkt t omslachtig en levert voor studenten teveel problemen op. Beter van niet.

xleeuwx @Tok Tok • 1 augustus 2016 15:11

Ik denk dat diegene die positief over de systemen van HVA & co zijn op een hand te tellen.

Anoniem: 636203 @xleeuwx • 1 augustus 2016 16:15

Ik lees dat Oracle en Atos hier achter zitten. Dan lijkt het mij wel te kloppen dat het veel te duur is (Oracle) en dat men voor de aanpassing naar de NL situatie niets van bakt (Atos).

Maar zolang de NL overheid belachelijke omzet eisen blijft stellen voor ICT contracten zal dit voortduren want bedrijven zoals Atos en Cap Gemini komen, ondanks hun veelvoudig falen, altijd weer boven drijven.

[Reactie gewijzigd door Anoniem: 636203 op 22 juli 2024 18:36]

PhilipsFan @Anoniem: 636203 • 1 augustus 2016 18:34

Ik weet niet of het klopt, maar je kunt het de IT-bedrijven moeilijk kwalijk nemen. Ze doen een oneerlijke offerte omdat alle andere bedrijven dat ook doen. Als je een eerlijke offerte zou maken, dan krijg je nooit een opdracht. Een opdrachtgever kijkt namelijk helemaal niet naar de haalbaarheid van een offerte, alleen naar de prijs.

En dan zit je dus als IT-bedrijf weliswaar met een opdracht, maar eentje die je nooit (goed) kunt waarmaken voor de afgesproken prijs. Dus wordt er bezuinigd op van alles en nog wat en eindig je met een onbruikbaar systeem.

Als opdrachtgevers nu eens wat verder zouden kijken dan alleen de prijs, of de offertes op haalbaarheid zouden (laten) beoordelen, dan zou dat een heel stuk schelen...

Anoniem: 636203 @PhilipsFan • 2 augustus 2016 10:36

Bij Oracle weet je gewoon dat je veel te veel betaald. Er zijn genoeg bedrijven die tonnen per jaar betalen om die Oracle SQL Server te draaien, terwijl je voor gratis een prima SQL database kan neerzetten. Ik vermoed dat 90% van de bedrijven die nu Oracle draait met een gratis open-source SQL database prima uit de voeten kan.

Misschien moet men als extra eis toevoegen dat het bod niet onder de kostprijs mag zijn. Maar los daarvan denk ik dat kleinere bedrijven het net zo goed kunnen, zeker voor dit soort kleine systemen.

[Reactie gewijzigd door Anoniem: 636203 op 22 juli 2024 18:36]

WhatsappHack

Netwerk en systeembeheer
Security
Datalek

@Anoniem: 636203 • 3 augustus 2016 14:30

Oracle nodigt je echter uit op een heerlijke cruise met subliem eten, mooie vrouwen en erg leuke cadeaus; om "zaken" te bespreken. Niet vreemd dat een aantal topmanagers zweren bij Oracle.

supersnathan94

Datalek

@Tok Tok • 1 augustus 2016 16:14

Niet alleen de HvA hoor. De HAN snapt het ook nog niet. Gelukkig hebben ze SIS de laan uit gestuurd en hebben ze nu een ander systeem wat een stuk beter werkt (maar nog steeds niet goed genoeg). Zo hebben ze de verplichte inschrijvingen voor tentamens terug moeten draaien (dus ook met terugwerkende kracht) omdat dit syateem niet goed werkte en er veel te veel mensen niet aan tentamens konden deelnemen.

thof

@supersnathan94 • 1 augustus 2016 16:19

HAN SIS en HAN SAS, wat een systemen waren dat zeg. Goed om te horen dat HAN SIS is uitgefaseerd, een drama was het en om over de usability nog maar te zwijgen. Ook in HAN SIS konden bepaalde gegevens opgevraagd worden, zoals foto's van alle gebruikers etc. Werd destijds ook niets aan gedaan.

supersnathan94

Datalek

@thof • 1 augustus 2016 16:23

Sas wordt volgens mij nog steeds gebruikt bij de ICA in arnhem. In feite exact hetzelfde systeem alleen dan nog lelijker. Werkt net zo fantastisch.

Gforcez @supersnathan94 • 1 augustus 2016 16:37

Ja, bij de ICA in Arnhem en Nijmegen is dit systeem nog steeds in gebruik, en ja, het is super brak..

Zakaria89 @Tok Tok • 1 augustus 2016 15:56

SIS is idd vreselijk. De reden van het winkelmandje: dit is een Amerikaans systeem, in Amerika 'koop' je je vakken volgens mij. In dat onderwijssysteem is het logischer.

Anoniem: 636203 @Zakaria89 • 1 augustus 2016 16:19

Of je even $ 50.000 wil overmaken via iDeal

Ik denk eerder dat ze gewoon een webshop gebruikt hebben...

Zakaria89 @Anoniem: 636203 • 1 augustus 2016 20:14

Het komt wel echt van een Amerikaans systeem. Wij hadden een exchange studente uit Amerika en die gaf ook aan dat het hetzelfde systeem was dat ze in Amerika gebruikte.

Cerberus_tm

@Tok Tok • 1 augustus 2016 17:02

Tijdens de Maagdenhuisbezetting las ik dat SIS 40 miljoen gekost heeft...

Dit is symptomatisch voor hoe de UvA-HvA en vele andere grote organisaties bestuurd worden: extreem inefficiënt. Er wordt veel te veel geld uitgegeven door de top aan dingen die niet echt nodig zijn en niet goed werken, en op onderwijs en onderzoek wordt juist hard bezuinigd.

Slechts de helft van het personeel aan de UvA doet onderzoek of geeft onderwijs; de andere helft doet...iets anders. Van de onderzoekers en onderwijzers heeft misschien wel de helft geen vast contract: ze worden telkens ontslagen net voordat hun geen tijdelijk contract meer mag worden gegeven, of ze hebben een nul-urencontract of zoiets. Er is een enorme laag goedbetaalde managers en pr-mensen, die wel vaste banen hebben. O, en schoonmakers en koffiejuffrouwen zijn niet in dienst van de UvA, die worden extern ingehuurd.

Anoniem: 636203 @Cerberus_tm • 2 augustus 2016 17:20

Ze geven liever een paar miljoen aan een externe partij dan dat ze het zelf voor veel minder regelen, dat kost ze namelijk veel werk. En ze kunnen dan altijd die externe partij de schuld geven. Het gebeurt niet alleen bij scholen, maar overal, ook in het bedrijfsleven. Dat is waar bedrijven zoals Oracle goud geld aan verdienen.

Cerberus_tm

@Anoniem: 636203 • 2 augustus 2016 17:24

Precies, en ook gewoon bij ministeries...
Het zorgt er ook voor de de organisatie zelf geen mensen in vaste dienst hoeft te nemen en onder zaken als ontslagrecht en andere arbeidsrechten uit kan komen.

rl3 @Tok Tok • 1 augustus 2016 23:22

Die 1900 per jaar is een klein deel van wat een student daadwerkelijk kost, de samenleving betaalt nog eens 5x dat bedrag aan een studieplek op in dit geval het hbo. Maar jij betaalt ook je hele leven belasting (inclusief btw) dus daarvan gaat ook een deel weer naar je studieplek. Het is maar net hoe je het bekijkt.
http://www.mijnstudentenl...ent-en-wat-levert-hij-op/
http://www.rekenkamer.nl/rendementschecker/

Dat terzijde, ik ben het roerend met je eens dat er met geld wordt gesmeten in de verkeerde hoeken.
In Estland loopt ondertussen zo'n beetje alles op het gebied van ICT op rolletjes, dit onderwerp kwam in juni nog ter sprake op radio 1 toen Jan Baan werd geïnterviewd in het programma "de ochtenden" toen hij net terug was van een reis daar. Hij is oprichter oud-CEO van Cordys, nu onderdeel van OpenText en tegenwoordig oprichter en CEO van Vanenburg Software. Iemand die het concept van ondernemen en winst maken goed doorheeft en waar menig overheidsinstelling nog wat van kan leren volgens mij.
http://www.automatisering...-digitale-aanpak-overheid
Hij had het over een goeie regel in Estland: een ICT project mag nooit meer dan een miljoen kosten. En hoe ze daar in Estland een veel veiliger Digi-D systeem hanteren.
http://cio.nl/overheid/84...d-zijn-ze-zo-gek-nog-niet

Jan Baan staat volledig achter een manifest waarin duidelijke richtlijnen zijn opgesteld, noem het idealisme maar je moet ergens beginnen.
Het eerste punt van dit manifest houdt in dat een ICT project in Nederland nooit meer dan 2 miljoen mag kosten. Ik sta hier in ieder geval lijnrecht achter, dus het is wat mij betreft de hoogste tijd om dit manifest te tekenen en met mij iedereen die het hier ook mee eens is.
En voor wie nog op of aanvullingen denkt te hebben, lees de website eens door en stuur ze gewoon een suggestie via het contactformulier.
http://egovernance.nu/manifest/

VolvoGek @rl3 • 24 augustus 2016 22:07

Baan.... dat is ook die man die naamgaf aan een toko die giga heeft gefraudeerd waarbij hijzelf er heel goed afkwam. Zijn gereformeerde vrienden en 'inversteerders' een stuk minder.....

hij heeft zijn zakken al gevuld...

Over de ontwikkeling van Cordys zijn ook nog wel wat leuke verhalen te vertellen..

Brent @xleeuwx • 1 augustus 2016 15:37

Toen ik als (technisch) studentenraadslid enkele jaren geleden met enige regelmaat op het IC (nu ICTS zie ik) langskwam, weet ik nog dat het aandeel technisch onderlegd personeel bijzonder klein was op de hele organisatie. Veel managers en business scholing, die vanzelfsprekend zich liefst niet druk maakten over techniek, vaak de vraag vanuit de diverse faculteiten niet echt kenden of begrepen, maar meer lol hadden in de aanbestedingen of inkoop. Vreemd gevoel om als studenten bij overleggen met mensen daar zo overduidelijk meer kennis van zaken te hebben. Ik heb welgeteld 1 persoon op de afdeling gevonden die wel wist waar ie het over had, maar die werd daar natuurlijk niet in de besluitneming betrokken, dat doen de chefs wel even

Een student op onze faculteit heeft ooit maar zelf een rooster- en cijfersite ontwikkeld, en dat was natuurlijk veel moderner, makkelijker en stabieler dan het gedrocht wat IC jarenlang nauwelijks wist te onderhouden.

Een uitstekend voorbeeld van ICT organisatie zonder een significante ICT staff, en laat staan invloed van die ICTers. Geen wonder dit dus. En zal ook niet veranderen, daar heeft de UvA gewoon de mechanismes en cultuur niet voor, zie ook RvB taferelen. Deze universiteit loopt ondanks haar organisatie, niet dankzij

Zakaria89 @Brent • 1 augustus 2016 15:55

Wij hadden zelfs een project voor school waarin wij met behulp van mendix een best prima en snel cijfersysteem wisten te bouwen.

supersnathan94

Datalek

@Brent • 1 augustus 2016 16:19

Hier ook. Mede student van mij heeft een ICS abo website opgezet zodat het rooster gewoon in je eigen agenda app geladen kon worden via een caldav abo. Werkte beter dan de app van de HAN zelf.

Anoniem: 392841 @Brent • 2 augustus 2016 08:43

Het is helaas een breed bekend fenomeen. De oorzaak is mede dat de overheid geld voor de hogescholen en universiteiten niet oormerkt, en ipv dat het geld gaat naar waar het naartoe moet (onderwijs en facilitaire dienstverlening daarvoor), de managers en directie die vaak 0 verstand hebben van wat dan ook behalve 'managen', het uitgeven aan pracht&praal (nieuwe gebouwen etc) welke vaak meer stoerdoenerij zijn dan echt nuttig.

Helaas zijn meerdere keren voorstellen van o.a. de SP en CDA om geld voor onderwijs meer te oormerken door o.a. de VVD en PvdA afgeschoten 'aangezien het niet haalbaar is praktisch gezien'/'Het zou te diep ingrijpen in de bedrijfsvoering van universiteiten en hogescholen'. Dit is complete onzin echter - het kan prima. Het is meer een kwestie van politieke wil en eenmalig een bedrag willen uitgeven om te zorgen dat ALLE Uni's en HBO's eenzelfde systeem gebruiken plus periodiek onderhoudskosten.

Blizz @xleeuwx • 1 augustus 2016 15:06

Ironisch genoeg gebruiken IT-studenten op de HvA geen DLWO, maar VLO. Het oude BSCW is ook nog toegankelijk. Andere opleidingen gebruiken dan weer wel DLWO. Sommigen hebben roosters in DLWO, SIS heeft z'n eigen roosters en andere studenten gebruiken rooster.hva.nl. Gelukkig heb je ook resultaten.hva.nl als alternatief voor SIS, want SIS op mobiel is letterlijk onbruikbaar, helaas komt de data niet altijd overeen. MapleTA voor wiskunde, Braint voor Nederlands, MyProgrammingLab voor een aantal vakken, Moodle voor sommige andere (oefen)toetsen, practica-inleverpunten en de cijferoverzichten van die vakken. Dan zijn er nog verschillende andere omgevingen voor HvA-studenten. Veel mogelijke doelwitten.

Do you want to trust the website “dlwo.dmci.hva.nl” to use the “SharePoint Browser Plug-in” plug-in?

xleeuwx @Blizz • 1 augustus 2016 15:09

Idd, maar helaas moesten IT Studenten toch echt ook over op DLWO dat was in Juli besloten en in September dat we begonnen was het drama compleet.

Blizz @xleeuwx • 1 augustus 2016 15:22

Voor de ouderejaars? Dat is dan zeker niet doorgezet voor de rest, bij HBO-ICT zitten we nog altijd aan de VLO (2016-2017 staat al klaar).

xleeuwx @Blizz • 1 augustus 2016 15:37

Deeltijd idd, zou misschien het verschil kunnen zijn

jader @xleeuwx • 5 augustus 2016 12:17

Deeltijd HBO-ICT stapt dit jaar weer af van DLWO/Sharepoint. Het was leuk geprobeerd maar docenten vinden Chamilo en Moodle fijner werken. Ook de CMD opleiding is geheel over op Moodle. Allemaal Open Source producten die een fractie kosten van wat er nu voor Sharepoint wordt uitgegeven.

Loather 1 augustus 2016 18:48

Zo te lezen heeft de onderzoeker inderdaad een boek over SharePoint gelezen. Drie van zijn bevindingen zijn endpoints die gebruikt worden om personen te kunnen opvragen binnen je eigen organisatie, laat daar SharePoint nou net voor bedoeld zijn. Wel zou, als dat niet zou mogen, afgevraagd moeten worden of de rechten voor het platform wel goed ingeregeld zijn.
De enige grote misconfiguratie is om geen lockout policy te hebben, terecht dat hij die vond, maar die kan je rustig op andere manieren ook wel vinden.
Volgens mij moet de IT organisatie je dan dusdanig achter de oren krabben dat je dit zo in hebt kunnen regelen, elke fatsoenlijke ActiveDirectory professional zou dit nooit zo opleveren.

sunflame @Loather • 1 augustus 2016 20:28

Hehe... Jij snapt het wel.
Het zijn inderdaad 4 standaard SharePoint endpoints die enkel publieke (na inlog) info teruggeven. Precies zoals SharePoint zou moeten werken.

Zoals ik ook eerder al zei is het inderdaad raar dat er een verdwaald ldap endpoint was. Zover ik begreep gaat dit dus niet om de "standaard" adfs setup waarmee studenten normaal inloggen op de dlwo.
Slordig dat die überhaupt bestaat en helemaal zonder limiet.
Goed dat die gevonden en opgeruimd is.

Anoniem: 392841 @Loather • 2 augustus 2016 08:52

Gezien het commentaar van anderen eerder ga ik er zelf vanuit dat de directie gewoon een datum geprikt heeft, de I(C)T niks heeft gevraagd en een 3e partij gewoon zijn gang heeft laten gaan zonder het werk te laten controleren, en vervolgens de ICT bevolen heeft ermee te werken vanaf die opleverdatum.

Het zou niet de eerste keer zijn dat de ICT compleet genegeerd wordt maar wel de schuld en rotzooi mee te maken krijgt vanuit de directie.

Firefly III 1 augustus 2016 15:03

Door een speciaal opgesteld verzoek te sturen kon Berg een grote hoeveelheid namen achterhalen.

En deze

Aan de hand van de eerder gevonden gebruikersnamen is het voor een aanvaller eenvoudig om op die manier een account binnen te komen, zo zegt de student.

Klinkt alsof Nelson Berg, net als de vorige keer vergeten is hoe het ookalweer zat met de gedragscodes rondom responsible disclosure.

Weer alle namen gedownload. En weer trots. 46MB account data! 96MB account data!

Net als de vorige keer 0 respect voor de privacy van zijn medestudenten. Gaat weer lekker met Nelson. Zou hij het ooit leren? Hij is goed in het achterhalen van datalekken maar hij gaat er belabberd mee om. Ongelofelijk zonde.

[Reactie gewijzigd door Firefly III op 22 juli 2024 18:36]

Anoniem: 784145 @Firefly III • 1 augustus 2016 15:14

What did you do with the data?
When I do projects like this, I create a RAM disk where I store things like BURP sessions, Python data parsers to create the statistical information I provide in this disclosure. The contents of a RAM disk are lost when you power down the computer(assuming you don’t live in a freezer). All the obtained data is gone, with exception of some screenshots I used in this disclosure, which are stored on an encrypted drive.

Firefly III @Anoniem: 784145 • 1 augustus 2016 15:22

Het gaat me er om dat het wederom niet nodig was om 96MB aan privé gegevens te downloaden, wat je er ook mee zegt te doen na afloop.

supersnathan94

Datalek

@Firefly III • 1 augustus 2016 16:21

Tsja je zult toch altijd iets moeten downloaden om zeker te zijn dat het ook daadwerkelijk kan. Daarnaast is de enige manier waarop deze info nu publiek kan worden doordat hij zelf gaat praten. Dat kan ook als hij het niet download en er alleen naar kijkt.

Firefly III @supersnathan94 • 1 augustus 2016 17:13

Dat het kan, dan zijn een paar records echt wel genoeg. Niet 90MB.

RagingPenguin @Firefly III • 1 augustus 2016 19:20

nee, want dat weet je nog steeds niet of je alle gegevens kan downloaden. wat je dan weet is dat je sommige gegevens kan downloaden. Tussen die twee zit wel een verschil.

Firefly III @RagingPenguin • 1 augustus 2016 19:46

Oh krijgen we die discussie weer. Dat werd de vorige keer ookal "aangedragen".

Blijkbaar is niet mogelijk om het volgende zinnetje te mailen:

"Ik heb niet alle 92MB aan studentrecords gedownload ivm de privacy. Maar check even of dat niet mogelijk is met behulp van een brute-force dingetje."

RagingPenguin @Firefly III • 1 augustus 2016 20:11

Al download je alleen maar een paar ID's kan je alleen maar stellen dat ID x-y niet goed beveiligd zijn. Al wil je de claim dat alle gegevens niet goed beveiligd zijn zal je dat ook van ieder ID moet bewijzen.

Hoe weet je anders of de ID's alleen maar van accounts zijn bedoeld voor unit testen? Of alleen maar accounts zijn die mee komen met de default set-up? Of alleen maar accounts zijn van studenten die al lang zijn afgestuurd en dat de huidige accounts beter zijn beveiligd?

Al had hij maar een paar ID's gedownload had hij niets bewezen.

Firefly III @RagingPenguin • 1 augustus 2016 20:21

Dus als ik dankzij een lek ik GMail jouw account binnen kan, moet ik alle miljoenen accounts hacken voor dat het telt?

Als ik een bug vind in Facebook, moeten alle 3 miljard Facebook gebruikers daar het slachtoffer van worden?

Ik volg even jouw logica.

Had hij inderdaad een lek gevonden in een paar unit tests accounts (op een productiesysteem, jawel) dan had de uni dat ook kunnen aangeven. "Goed bezig, je hebt onze test-accounts gevonden".

Jouw argument kwam de vorige keer ook al voorbij. Op de een of andere manier moet de winkel leeg voor dat het telt. Dat is imo kletskoek. En bij bedrijven zoals Google, Microsoft en Facebook ook een reden om niet uit te betalen.

Als je een lek gevonden denkt te hebben, dan geef je aan hoe & wat. Daar krijg je vervolgens naar betaald. Als je eerst 100.00 accounts hackt en dan een mailtje stuurt, krijg je een rechtszaak aan je broek.

Anoniem: 349463 @Firefly III • 1 augustus 2016 15:23

Op zich ben ik het met je eens, aan de andere kant deze Nelson is student bij een (waarschijnlijk) IT opleiding.

Door dit te doen verdien je wel mega credits op je opleiding en bij je mede studenten. En dat is belangrijk als je nog op school zit.

Het zou me niks verbazen als de docenten het net zo hard toejuichen, omdat er dan hopelijk eindelijk iets aan gedaan wordt.

Zo ging het bij mijn opleiding op de HvA tenminste, daar ben ik sinds deze zomer vanaf.

Baris @Anoniem: 349463 • 1 augustus 2016 15:52

Dit brengt HvA in diskrediet. Voor mijn afstudeerstage heb ik het onderzoek digitaal via het dlwo opgeleverd volgens de regels. Stel je voor dat het geen namen, maar documenten waren. Het laatste wat ik wil is dat mijn onderzoek publiek gepubliceerd wordt door een buitenstander. De HvA en mijn afstudeerbedrijf hebben dan een probleem.

Goed dat het aan de kaak gesteld wordt, maar met zoveel aandacht? Hoeft wat mij betreft niet.

Rutix @Baris • 1 augustus 2016 18:21

Dit alles is pas naar buiten gekomen nadat de HvA het lek hebben gedicht. Public disclosure is nu alleen maar goed omdat ALS je onderzoek nu opeens publiek word je wel weet waar het vandaan kan komen en dat zou je niet hebben geweten als er geen public disclosure was geweest.

Anoniem: 349463 @Baris • 1 augustus 2016 16:24

Dan is dit het enige moment waarop de compleet achterwaartse gedachtegang van mijn docenten beter was. Ik moest mijn scriptie twee maanden geleden in viervoud op papier ingebonden inleveren. Dat was mooi 360 pagina's aan papier....

Anoniem: 172410 @Baris • 2 augustus 2016 01:25

Don't shoot the messenger. De lekken zaten er en dat betekende dat iedereen ze kon gebruiken om jouw gegevens te stelen, op straat te gooien of te verkopen. Die verantwoordelijkheid ligt bij de HvA. Deze jongen heeft dat niet gedaan. Alle informatie die verzameld is, is dat op zo omzichtig en voorzichtig mogelijke wijze. Alle eventueel gevoelige informatie is op een per definitie vluchtig medium opgeslagen. Alle handelingen zijn achteraf gemeld, samen met de problemen. Alles is pas openbaar gemaakt nadat de boel gedicht is.

De HvA heeft zichzelf in diskrediet gebracht. Dit is de beste uitkomst in een slechte situatie.

Firefly III @Anoniem: 349463 • 1 augustus 2016 15:25

Ik ben het dan ook volkomen eens met je andere kant. Hij verdient ook mega credits, en ik juich het net zo hard toe.

xleeuwx @Firefly III • 1 augustus 2016 15:19

Ach vervelend dat hij dat heeft gedaan, echter vind ik het veel erger dat er naar een Organisatie wordt gerefereerd die zelf de regels probeert te bepalen, want veel wat hierin staat is niet bij de wet geregeld.
Verder gaat jouw link om Telecombedrijven iets wat HVA absoluut niet is...

Verder wees blij dat iemand de moeite doet om te kijken hoeveel lekken er nog open staan in de systemen van de HVA

Firefly III @xleeuwx • 1 augustus 2016 15:21

De regels rondom responsible disclosure zijn behoorlijk uniform hoor. Zelfs die van Tweakers.net zijn vergelijkbaar.

Ik ben ook blij dat hij er naar kijkt maar het is knap zonde om weer dezelfde fout te maken.

synoniem @Firefly III • 1 augustus 2016 15:15

Zolang hij die lekken keurig meldt aan de betreffende instantie zie ik het probleem niet zo. Ik ga er dan vanuit dat hij na afloop die data gewoon vernietigd heeft.
Je reactie heeft daarom meer weg van het afbranden van de brenger van slecht nieuws.

Firefly III @synoniem • 1 augustus 2016 15:19

Je hebt gewoon niet 96MB aan account data nodig om te melden dat het lek er zit. Na 1MB is dat toch ookal duidelijk? Dan hoef je toch niet door te gaan?

Het heeft niks met afbranden te maken maar het is gewoon stom om twee keer dezelfde fout te maken en veel meer privé gegevens te downloaden dan nodig of verstandig is.

pixeled

@Firefly III • 1 augustus 2016 16:22

Hm, weet niet of ik het daar mee eens ben. Na 1mb weet je namelijk niet of het je ook lukt om de volledige 96mb te downloaden, of dat het lek eerder al opgemerkt wordt en je ergens gestopt wordt. Pas nu kan hij met zekerheid zeggen dat ook daadwerkelijk alle data op straat ligt, en dat het niet om 'theoretisch alle data' gaat.

Prima om te proberen/testen tot hoever het lek reikt, lijkt me. Daar kom je maar op een manier achter.

Firefly III @pixeled • 1 augustus 2016 19:49

Hij kan natuurlijk ook gewoon iets melden als "theoretisch had ik alles kunnen downloaden, maar ik ben wel voorzichtig met andermans privacy".

[Reactie gewijzigd door Firefly III op 22 juli 2024 18:36]

Anoniem: 172410 @Firefly III • 2 augustus 2016 01:17

In de praktijk blijkt dat vaak niet te kunnen. Dan wordt de boel namelijk weggewuifd, want niemand kan aantonen dat het lek inderdaad van significante grootte was. Men kan doen alsof het dat ene account was en daarmee een zeldzaam incident. "Theoretisch had hij alles kunnen downloaden? Welnee, dit kleine stukje is de hele omvang!"

Geloof je dat niet? Kijk naar alleen al deze zaak. Men werd gewaarschuwd en zorgde dat alleen bij zijn eigen account het lek gedicht werd. Rookgordijnen zijn eerder regel dan uitzondering.

i-chat @Firefly III • 1 augustus 2016 15:50

en toch klinkt het vooral naar zwartmaken en 'van de zijlijn weet men beter' van responsible disclosure is sprake, zodra je vaststelt dat data beschikbaar is, je die niet inkijkt en direct vernietigd,

het 1mb data is genoeg argument is kul, en slaat als een tang op een varken wie zegt namelijk welke mb je dan precies moet pakket, natuurlijk NIET die MB met jouw data, want dan heb je vast weer iets te klagen.

deze guy zegt precies wat hij doet en hoe, publiceerd blijkbaar pas nadat de lekken gedicht zijn, dat lijkt me voldoende.

Firefly III @i-chat • 1 augustus 2016 19:53

Hoezo "welke 1mb je precies moet pakken"? Zijn methode laat duidelijk zien dat hij na 1KB al beet heeft. Waarom moet hij dan toch 90.000x meer data downloaden dan nodig is?

Yoshi @i-chat • 1 augustus 2016 15:56

klopt volledig, vorige keer deed JCE dat trouwens ook ;-)

Yariva Moderator internet & netwerken @synoniem • 1 augustus 2016 15:20

Tja, het is ook ongeveer een maand geleden dat hij Nelson heeft afgefikt

Ik begin een (vrouwelijk) verband te zien...

Atomsk @Firefly III • 1 augustus 2016 15:51

Klinkt alsof Nelson Berg, net als de vorige keer vergeten is hoe het ookalweer zat met de gedragscodes rondom responsible disclosure.

Goed idee, zo'n gedragcode. Alleen heeft geen enkele Nederlandse hogeschool deze ondertekend (behalve "Dirksen Hogeschool" en ander bedrijfsopleidingen). In de praktijk heeft iedere hogeschool eigen regels en die zijn niet altijd even vriendelijk t.a.v. "hacking", in welke vorm dan ook.

Bij de HvA heb je alleen http://www.hva.nl/onderwi...ls/ict-gedragsregels.html wat meer lijkt op wat tips & tricks voor veilig internetgebruik dan een ict gedragscode.

Anoniem: 200498 @Firefly III • 1 augustus 2016 15:17

Firefly III @Anoniem: 200498 • 1 augustus 2016 15:20

Het maakt me niet zoveel uit wat hij zegt dat hij met de data heeft gedaan. Net als de vorige keer was het überhaupt niet nodig om al die privé gegevens te downloaden.

mgizmo @Firefly III • 1 augustus 2016 15:43

Eens hoor. Hij kan niet garanderen dat de data op zijn disk niet bereikbaar is geworden door derden. Je moet niet het risico willen nemen dat je zelf de zwakste schakel bent.

Anoniem: 784145 @mgizmo • 1 augustus 2016 18:35

Eens hoor. Dat de HvA de gegevens lekker beschikbaar houd voor iedereen nadat het gemeld is dat een stuk of 100.000 mensen er bij kunnen is helemaal prima, maar dat ik de gegevens op een RAM disk heb gehad zodat ik hier een artikel over kan schrijven is een doodzonde.

mgizmo @Anoniem: 784145 • 1 augustus 2016 22:33

Als netwerk security specialist vind ik dat er mensen zoals jij nodig zijn om dit te vinden. Geen idee waar je gelezen hebt dat ik je bevindingen niet zou waarderen. Dagelijks werk ik met CISO's. Er zitten goede tussen (hart voor de zaak), anderen horen ander werk te gaan doen.

[Reactie gewijzigd door mgizmo op 22 juli 2024 18:36]

Anoniem: 784145 @mgizmo • 1 augustus 2016 22:43

"Het maakt me niet zoveel uit wat hij zegt dat hij met de data heeft gedaan. Net als de vorige keer was het überhaupt niet nodig om al die privé gegevens te downloaden." -JCE

"Eens hoor. Hij kan niet garanderen dat de data op zijn disk niet bereikbaar is geworden door derden. Je moet niet het risico willen nemen dat je zelf de zwakste schakel bent" - mgizmo

Toch maak je samen met JCE van mij de boeman, dat is prima. Ieder heeft recht op zijn eigen mening. Alleen ik zie het niet zo, dat is dan mijn mening.

mgizmo @Anoniem: 784145 • 1 augustus 2016 22:49

Je vindt het niet raar dat je (ruim) data hebt (gehad) door een lek waardoor je zelf/systemen het risico bent geworden?

Of bepaal je zelf welke data classificatie je hangt aan de data die je binnen haalt en maakt daarin de afweging? (studentnamen vs credit card nummers bijv)

Anoniem: 784145 @mgizmo • 1 augustus 2016 22:58

Je vindt het niet raar dat je (ruim) data hebt (gehad) door een lek waardoor je zelf/systemen het risico bent geworden?

Of bepaal je zelf welke data classificatie je hangt aan de data die je binnen haalt en maakt daarin de afweging? (studentnamen vs credit card nummers bijv)

Goede vraag. In dit geval leek het mij niet relevant gezien ik nooit van plan was om de data (permanent) op te slaan. Ook hoor ik graag een scenario van je waar een derde partij door mij aan de data komt. Wat sowieso onpraktisch is, omdat het een stuk makkelijker is om gewoon de data met een verzoekje bij de HvA op te halen.

Ook het volgende stukje text is weer van toepassing

Eens hoor. Dat de HvA de gegevens lekker beschikbaar houd voor iedereen nadat het gemeld is dat een stuk of 100.000 mensen er bij kunnen is helemaal prima, maar dat ik de gegevens op een RAM disk heb gehad zodat ik hier een artikel over kan schrijven is een doodzonde.

mgizmo @Anoniem: 784145 • 1 augustus 2016 23:29

Wat sowieso onpraktisch is, omdat het een stuk makkelijker is om gewoon de data met een verzoekje bij de HvA op te halen.

Als ze naar data van HvA aan het zoeken zijn, dan is HvA website benaderen praktischer/logischer ja. Of ze weten jou te hacken en komen daardoor aan bron van informatie om anderen te hacken.

Maar praktisch zeg je denk ik dat HvA wel gaten heeft, maar jouw systeem en/of netwerk niet. Scenario's kunnen bijv man in the middle of malware zijn. Je kunt het niet uitsluiten en daarmee neem je een risico (namens je "klant") die ik denk dat je als pentester niet moet willen nemen. Als pentester heb je, neem ik nu even aan, een formele opdracht van de klant om op onderzoek uit te gaan met diverse voorwaarden. Dat heb je hierbij niet, neem dan ook geen meer risico als nodig.

Maar goed, ik ben jou niet. Ik probeer alleen de woorden van JCE anders toe te lichten, dat je met minimale data ook je bewijzen hebt.

Anoniem: 784145 @mgizmo • 1 augustus 2016 23:36

Graag een MITM scenario. Laten we er van uit gaan dat de aanvaller geen root CA gehackt heeft en zijn eigen certificaten kan signen.

Of een malware scenario. Ik draai de nieuwste Ubuntu versie.

Of een netwerk scenario. Heb geen servers,ssh servers of andere remote protocollen draaien.

Volgende stukje text is nog steeds van toepassing. Je gaat er telkens niet op in. Begrijp wel waarom.

Eens hoor. Dat de HvA de gegevens lekker beschikbaar houd voor iedereen nadat het gemeld is dat een stuk of 100.000 mensen er bij kunnen is helemaal prima, maar dat ik de gegevens op een RAM disk heb gehad zodat ik hier een artikel over kan schrijven is een doodzonde.

mgizmo @Anoniem: 784145 • 1 augustus 2016 23:50

HvA denkt waarschijnlijk ook dat ze alles gedaan hebben om datamisbruik te voorkomen. Kennelijk twijfel je niet aan jezelf of je systemen of beter gesteld je sluit het volledig uit. Prima, dan vind je dat het geen risico is of je vindt het een geaccepteerd risico. Ik vind het alleen niet handig dat je dat over andermans data vindt te kunnen besluiten.

En ik ga niet op je stuk in, omdat ik het helemaal niet prima vind en heb dat ook nergens geschreven.

Fijne nacht.

Anoniem: 784145 @mgizmo • 1 augustus 2016 23:55

Kennelijk twijfel je niet aan jezelf of je systemen of beter gesteld je sluit het volledig uit.

Ik sluit helemaal niets uit. Ik vraag jouw als netwerk security specialist gegeven mijn configuratie een scenario te maken waar een aanvaller toegang kan verkrijgen tot de gegevens. Als je dit niet kan prima.

[Reactie gewijzigd door Anoniem: 784145 op 22 juli 2024 18:36]

WhatsappHack

Netwerk en systeembeheer
Security
Datalek

@Anoniem: 784145 • 3 augustus 2016 14:40

En dat laat goed zien waarom je nog heel veel te leren hebt, ondanks dat je op de goede weg bent. Er is een kleine lijn tussen gray hat en black hat... Pas op wat je wordt, want voor sommige dingen is er geen weg terug, en voor je t weet zit je zelf in de bak. Bij de vorige hack was je echt extreem roekeloos en gevaarlijk bezig.

Ik zou je niet aannemen iig vanwege het hoge risico op gevaarlijk/roekeloos/onethisch gedrag. Als je beter leert te herkennen waarom je gevaarlijke fouten maakt... Dan is een leuke baan met een erg leuk salaris absoluut een optie.

Zie het als positieve feedback, in plaats van een aanval. In het vorige artikel,kwam het ook enkel als goedbedoeld advies van mensen die al jaren in deze business zitten.
Het is geen kritiek op je werk en je skills, maar op de manier waarop je met lekken en data omgaat. Leer daarvan, in plaats van boos te worden. Dan wordt je veel meer waard in t bedrijfsleven.

Anoniem: 784145 @WhatsappHack • 3 augustus 2016 17:28

Je bent in de IT nooit uitgeleerd denk ik, karmakoningen niet uitgesloten.

SIS lek was inderdaad een tikje onethisch, maar het heeft gelukkig veel meer goed dan kwaad gedaan.

Bij dit lek vind ik niet dat ik onethisch gehandeld heb. Heb een nummertje aangepast in het verzoek en ik kreeg alle data terug (heb niet helemaal een scraper gebouwd of iets dergelijks) ook heb ik niet bij andere universiteiten het lek getest, terwijl het zeer mogelijk is dat deze ook hier aanwezig was. Ik neem overigens aan dat ze het ook daar opgelost hebben.

Ik lig er niet wakker van, werk zat, leuk werk met een leuk salaris is een realiteit.

Vind het af en toe moeilijk om rustig te blijven als mensen over je heen pissen. Uiteraard ook een verbeterpunt, zal het meenemen in mijn dagelijkse zelfreflectie, klinkt een beetje sarcastisch maar dat is het niet.

Bedankt voor je feedback.

WhatsappHack

Netwerk en systeembeheer
Security
Datalek

@Anoniem: 784145 • 3 augustus 2016 19:56

Je bent absoluut nooit uitgeleerd, zeker omdat de huidige technieken dagelijks veranderen; er dagelijks nieuwe problemen zijn en er altijd wel weer ergens zo'n graflek opduikt.

Het is zeker goed gegaan, en het resultaat wat je hebt bereikt is helemaal prima.

Ik denk dat het enige dat mensen je proberen mee te geven is, dat omdat het nu goed gaat dat geen garantie is voor de toekomst; en je dus willen waarschuwen dat je flink moet oppassen. Niet alleen om die data veiliger te behandelen en geen risico's te nemen met privacy gevoelige data (downloaden), het ethische gedeelte dus, maar ook omdat er nog tig bedrijven zijn (ook in NL) die absoluut niet terugdeinzen om je aan te klagen of zelfs schadevergoedingen eisen voor wat je doet; soms juist enkel en alleen als je zo heel erg veel gegevens download. (Zij kunnen immers niet zeker weten of het wel echt waar is dat jij die data verwijderd hebt! Dus nemen ze 't zekere voor 't onzekere, en dan lichten ze je uit je nest en nemen je PC's in beslag.) Technisch gezien staan die bedrijven namelijk nog steeds volledig in hun recht om je aan te klagen, al hebben steeds meer bedrijven een Responsible Disclosure regeling.

(En vaak staat in die regeling dat je "genoeg" om een lek aan te tonen mag downloaden/kraken, maar absoluut niet meer dan noodzakelijk of verder door inbreken (nieuws: Onderzoeker ontdekt Instagram-lek en raakt in conflict met Facebook)

Ik probeerde dus ook zeker niet over je heen te pissen (en denk mensen als JCE ook niet, al laat de verwoording misschien te wensen over; snap dat je dan geïrriteerd wordt en misschien je trots wat gekrenkt voelt), je hebt goed werk gedaan en de methode is al een stuk veiliger dan de vorige keer.

Gewoon constructieve feedback en proberen je bewust te houden/maken van de vervelende risico's van dit vak. Het is leuk werk, maar ook ondankbare shit... Veel bedrijven die pissig worden, in plaats van je te bedanken. -_-
(Moet je eens vragen of je een audit mag doen, sommigen gaan dan al dreigen met advocaten als je 't wel probeert

)

Afijn... Zet je goede werk lekker door hoor, daar niet van!

[Reactie gewijzigd door WhatsappHack op 22 juli 2024 18:36]

Anoniem: 784145 @Firefly III • 1 augustus 2016 20:46

https://binaryit.net/wp-c...016/07/veryniceletter.pdf
Ja raar dat ik deze mensen niet vetrouw. Ik heb veel te weinig vertrouwen in de mensen die 550.000 studenten er niet van op de hoogte stellen dat hun pasfoto/telefoonnummer/naam theoretisch in de handen van 550.000 andere mensen kunnen zijn. Ligt aan mij.

cyclone @Firefly III • 1 augustus 2016 17:01

Anders dat je de link even volgt naar zijn BLOG waarin hij DUIDELIJK aangeeft dat hij alle gegevens alleen op een RAM drive heeft gezet, en ze derhalve bij het uitzetten van zijn p.c. weer netjes verdwenen waren.

Als je een lek wilt aantonen zul je wel zeker van je zaak moeten zijn dat het lek daadwerkelijk ook een lek is, en derhalve moeten testen / data moeten ophalen.
Feit dat hij de moeite neemt om een ramdisk aan te maken en alleen wat screenshots op een encrypted disk bewaard geeft duidelijk te kennen dat hij wel degelijk zorgvuldig gehandeld heeft.

Sorry maar jouw opmerking komt niet anders op mij over als enorm geroeptoeter.

(En omdat je ook te lui bent om maar even 1 klikje meer te doen heb ik hier voor je even de tekst en uitleg gecopieerd van zijn blog :
What did you do with the data?
When I do projects like this, I create a RAM disk where I store things like BURP sessions, Python data parsers to create the statistical information I provide in this disclosure. The contents of a RAM disk are lost when you power down the computer(assuming you don’t live in a freezer). All the obtained data is gone, with exception of some screenshots I used in this disclosure, which are stored on an encrypted drive.

cyclone @Firefly III • 1 augustus 2016 20:12

Ik mis je punt niet, ik vind je punt onjuist, en meerdere mensen met mij.
De wijze waarop je je punt probeert te maken maakt dat ik je een roeptoeter noem.

Je woordkeuze en zinsbouw komen provocerend en ondeskundig over.
Gezien de reacties ben ik niet de enige.

Firefly III @cyclone • 1 augustus 2016 20:18

Als je het lek hebt gevonden, is het een kleine moeite om de privacy van je 100.000 (!) medestudenten te beschermen en aan te geven wat er nog meer mis zou kunnen zijn. Je hoeft niet zelf te flooden, te spammen of te DDoS'en. Je kan ook gewoon aangeven dat het een risico is, bovenop wat je al gevonden hebt, en dat ze dat dienen te fixen.

Het maakt dan niet uit hoe veilig je bent met die data. Hoe voorzichtig je bent. Het is strikt genomen niet nodig om alles te downloaden, dus moet je dat ook gewoon niet doen. Dat is toch niet zo gek? Facebook, Google en Microsoft geven grote sommen geld voor elke gevonden bug: maar als je er op enigerlei misbruik van maakt kan je fluiten naar je geld.

Ik kan niet anders concluderen dan dat dit gewoon "misbruik maken van" is. Hoe goed ook bedoelt, hoe voorzichtig ook gedaan.

Daar mag je het mee oneens zijn, maar dat verandert de feiten niet: het was niet nodig geweest om al die data te downloaden.

mae-t.net 1 augustus 2016 14:50

Ze leren het ook nooit.

Daarmee bedoel ik vooral dat ze eerst het account /IP/etc. van de hacker uitzetten en dan nog eens op hun gemak gaan kijken of er wat op te lossen valt.

Nouja, dat oplossen gebeurde al wat sneller dan voorheen en in eerdere vergelijkbare gevallen elders, dus misschien toch vooruitgang.

Anoniem: 310408 @mae-t.net • 1 augustus 2016 17:09

Daarmee bedoel ik vooral dat ze eerst het account /IP/etc. van de hacker uitzetten en dan nog eens op hun gemak gaan kijken of er wat op te lossen valt.

Dat vind jij een verkeerde handeling? Ik niet.

mae-t.net @Anoniem: 310408 • 2 augustus 2016 15:54

Waarom niet? Dat mag je toch uitleggen.

Misschien is je redenatie: iets uitzetten is beter dan niets uitzetten, maar dat is hooguit voor de buehne, niet omdat het daadwerkelijk ergens tegen helpt.

Een account patchenm waarvan je weet hoe en door wie het is gebruikt, is symptoombestrijding en laat de rest van het systeem wagenwijd open. Als je denkt dat het een gevaarlijk lek betreft is de enige juiste keuze om het systeem af te sluiten voor onderhoud. Kennelijk was er al een provisorische fix, dus zo lang zal dat onderhoud niet hebben hoeven duren.

Vergelijk de situatie destijds met het Tentamen Aanmeld Systeem van de TU. Nadat er heel lang niets aan het lek gedaan was, werd het geëxploiteerd vanuit een van de gebouwen dus werd dat subnet dichtgegooid. Waarna de exploitatie vrolijk verderging vanuit een andere locatie. Die gegevens zijn verder niet gebruikt voor zover ik weet, omdat de scriptkiddies die de exploit draaiden dat vooral deden om het punt te maken dat er nu eindelijk eens wat moest gebeuren... Maar in principe had iedereen gedurende die periode misbruik kunnen maken. Je hebt het wel over hoger onderwijs, dus in principe voldoende enthousiaste jongelui die ook nog eens voldoende hersens aan boord hebben om wat te rommelen.

Nou duurde het bij de TU maanden, zodat het geen optie was om het systeem dicht te knallen, maar bij de UvA/HvA ging de afwikkeling een stuk vlotter. Dus geen excuus om het niet even dicht te zetten.

[Reactie gewijzigd door mae-t.net op 22 juli 2024 18:36]

kaasboer09 1 augustus 2016 16:35

---

[Reactie gewijzigd door kaasboer09 op 22 juli 2024 18:36]

pauldaytona 1 augustus 2016 15:11

Lijkt me moeilijke manier om aan namen te komen.
In de meeste interne mailsystemen heb je een adresboek. En anders heb je een AD vol met accountgegevens. Kan je als je ingelogt bent toch zo uitlezen?

sunflame @pauldaytona • 1 augustus 2016 16:28

Juist.
Er wordt gedaan alsof dit heel bijzonder is, maar dit gaat om adresboek gegevens, die wanneer je kunt inloggen op de hva omgeving, ook gewoon in te zien (en te scrapen) van adresboek.hva.nl

Anoniem: 784145 @sunflame • 1 augustus 2016 18:27

adresboek.hva.nl was het informatie systeem dat kwetsbaar was voor een bruteforce, heeft helemaal niets te maken met de data lekken.

sunflame @Anoniem: 784145 • 1 augustus 2016 19:59

Ik heb het erover dat je doet alsof je op een speciale manier data hebt gevonden terwijl die data gewoon vrijelijk inzichtelijk is via adresboek.hva.nl

Er is dus geen "geheime" studenten informatie gelekt via (officiële) SharePoint endpoint waarvoor Microsoft niet eens ondersteuning geeft om deze überhaupt dicht te zetten.

Neemt niet weg dat het onbeperkt aantal keer inlogpogingen kunnen doen met die info niet heel handig is...
Goed dat dat inmiddels verholpen is.

Anoniem: 784145 @sunflame • 1 augustus 2016 20:30

adresboek.hva.nl is voor een stuk of 10.000 medewerkers, die waarschijnlijk toestemming hebben gegeven om ook door google bijvoorbeeld geindexeerd te worden.

pauldaytona @Anoniem: 784145 • 2 augustus 2016 01:16

Dat adresboek moet je voor inloggen, hoe kan google dat indexeren dan?
Als hogeschool wil je dat mensen makkelijk kunnen samenwerken. Dan is een adresboek handig. Als dat met een inlog is afgeschermd is het niet open voor de wereld. Dus waar is het probleem dan? Of je moet vinden dat docenten hun studenten niet moeten vinden. Of studenten elkaar.

Anoniem: 784145 @pauldaytona • 2 augustus 2016 04:06

Gegevens in het adresboek zijn ook vindbaar onder www.hva.nl/over-de-hva/contact/content/. Daar hoef je niet voor in te loggen.

pauldaytona @Anoniem: 784145 • 2 augustus 2016 08:59

op: inderdaad de medewerkers, veel universitieten hebben dat ook zo. Wij niet, alleen na inloggen. Net als roosters.

Anoniem: 784145 @pauldaytona • 2 augustus 2016 11:35

Ik zeg ook niet dat het erg is

sunflame @Anoniem: 784145 • 1 augustus 2016 20:45

Zover ik weet is dat iedereen. Dan nog.... Elke student en docent heeft gewoon outlook. Dump je adresboek daar. Wel zo makkelijk. Niets geheimzinnigs aan.

sunflame @Anoniem: 784145 • 1 augustus 2016 21:02

Dat is mooi anders lezen we morgen dat outlook lek is.

Geintje natuurlijk...

BUR 2 augustus 2016 12:04

Ik weet nog dat er bij de HvA A4-tjes hingen met de tekst "Je mag niet aansluiten op het netwerk en een sniffer gebruiken." Haha... ja hoor... waterdicht systeem.

WhatsappHack

Netwerk en systeembeheer
Security
Datalek

@BUR • 3 augustus 2016 14:44

Mja, als ze je ermee pakken kan je van school geknikkerd worden.
Heb dat op de HU wel eens zien gebeuren, zat er eentje met wireshark en een scrubber te proberen de login van zn medestudenten te achterhalen. 3 maanden geschorst en alle cijfers in dat blok ongeldig verklaard. Hatsjikidee...

jeroen3 1 augustus 2016 15:00

Sharepoint op een niet nader te noemen andere hogeschool was ook zo lek als een mandje. Je kon toegang krijgen tot mappen van andere studies en studiegroepen via een password code scriptje wat het password client side bevatte.
Geeft het niveau een beetje aan waar je mee te maken hebt.

[Reactie gewijzigd door jeroen3 op 22 juli 2024 18:36]

morpheus 1 augustus 2016 14:48

klinkt alsof hij lekken zoekt van binnenuit. Ik als buitenstaander zal zijn werk niet zo snel kunnen reproduceren.

Anoniem: 149004 @morpheus • 1 augustus 2016 17:31

zoals bij Google moet je anno 2016 niet meer in "binnen" en "buiten" denken. Google beveiligd zn internet netwerk alsof het het internet is.

Cbr @morpheus • 1 augustus 2016 15:03

In een organisatie met duizenden studenten/klanten moet je de gegevens ook bijzonder goed beveiligen voor/tegen mensen van binnenuit. (Dat ligt wat anders bij een organisatie van 50 mensen waar iedereen elkaar toch wel kent.)

Ter vergelijking: bij bol.com kan ik als ik ingelogd ben net zo slecht bij de gegevens van anderen dan wanneer ik niet ingelogd ben, en zo hoort het. Zelfs binnen organisaties die gericht zijn op samenwerking (zoals universiteiten en hogescholen).

[Reactie gewijzigd door Cbr op 22 juli 2024 18:36]

jader @Cbr • 5 augustus 2016 12:09

Door studenten als (onbetrouwbare) klanten te behandelen wordt onze school er niet leuker op. Zoals eerder vermeld zijn naam, emailadres en userID intern niet "geheim" en gaan de meeste studenten er ook verantwoordelijk mee om (al interesseert het 99.9% geen fluit wat er mee gebeurt). Het zijn tot nu toe steeds eerstejaars studenten die de publiciteit zoeken terwijl onze hogerejaars nog veel meer kunnen. De HvA wil best meewerken om de hack-reputatie van z'n studenten te helpen verhogen. Goede reclame, ook al heeft de HBO-ICT opleiding geen PR nodig want die zit al erg vol (ben daar docent). De PR van de ICT Support afdeling is een ander verhaal. Facilitaire diensten zijn altijd de pispaal.

Cbr @jader • 5 augustus 2016 19:40

Bedankt voor je uitgebreide reactie meer daarin intern inzicht. Toch denk ik dat je in zulke grote organisaties wel zult moeten zorgen dat een geneeskunde-student niet de namen van alle natuurkundestudenten moet kunnen inzien. (Als ze dat wel willen kunnen ze elkaar hun email-adres geven oid.) Hopelijk komen daar nog slimme oplossingen voor.

jader @Cbr • 16 augustus 2016 14:16

Want geneeskunde studenten kun je al helemaal niet vertrouwen met persoonsgegevens voor ze een eed hebben afgelegd. Zelf als huisarts kunnen ze je nog aangeven als terrorist

In elke organisatie zal aan deelnemers een mate van "Beroepsethiek en maatschappelijk verantwoordelijkheid" worden vereist. Een school is een goede plek om daaraan te werken.

Op dit item kan niet meer gereageerd worden.

Student achter UvA-HvA-datalek vindt opnieuw lekken in systeem HvA

Lees meer

IT-banen

Reacties (122)

Sorteer op:

Weergave: