Gebreken in UvA-Blackboard gaven toegang tot 10.000 accounts

Twee studenten vonden ernstige beveiligingsproblemen in de Blackboard-omgeving van de Universiteit van Amsterdam. Ze konden onder andere tienduizend accounts benaderen waarvan het wachtwoord identiek was aan de accountnaam.

De twee studenten, Auke Zwaan en Bram ter Borch, onderzochten de beveiliging van de Blackboard-omgeving van de UvA eind april vorig jaar in het kader van het onderdeel 'Offensive technologies' van hun vak 'Security and network engineering'. Ze kwamen er al snel achter dat inloggen bij Blackboard weliswaar via https gaat, maar dat gebruikers na een succesvolle login verbinding maken via onversleuteld http. Dit maakt man-in-the-middleaanvallen op sessies mogelijk zodra een doelwit via publieke hotspots verbinding maakt. Daarbij konden de beide studenten ook wachtwoorden aanpassen, aangezien het oorspronkelijke wachtwoord niet nodig was voor een reset.

In de Blackboard-omgeving krijgen gebruikers rechten toebedeeld op basis van hun rol. Instructors kunnen dankzij hun rechtenset bijvoorbeeld students toevoegen aan lessen. Zwaan ontdekte dat hij met zijn instructor-account studenten kon zoeken, maar met de zoekoptie 'not blank' de gegevens van 143.147 accounts als resultaat kon krijgen, zoals namen, accountnamen en e-mailadressen. Vervolgens probeerden de onderzoekers een script uit waarmee ze de accountnaam als wachtwoord invoerden. Hieruit bleek dat 10.805 accounts de accountnaam als wachtwoord gebruikten.

UvA Blackboard users

Meer dan 3000 van die accounts waar de twee onderzoekers nu toegang toe hadden, waren van studenten, maar 352 accounts waren van cursusleiders en hadden dus meer rechten. Bovendien bleek er een 'tester'-account met als wachtwoord 'tester'. Nu de twee toegang hadden tot duizenden lessen, probeerden ze toegang te krijgen tot bestanden voor die lessen. De locatie van bestanden was te achterhalen door id's in de url aan te passen en een script alle waardes tussen tien en tien miljoen na te laten lopen. Ze hadden geen rechten om bestanden te openen, maar het systeem was zo opgezet dat dit toonde wie wel toegang had. Door andere accounts te kapen zou een aanvaller wel toegang kunnen krijgen.

Zo konden ze nog niet gepubliceerde examens en cijfers van studenten inzien, studenten aan lessen toevoegen, de inhoud van lessen aanpassen enzovoort. Ook konden ze cijfers aanpassen. Officieel gebruiken docenten Blackboard niet voor het beheren van cijfers, maar in de praktijk zouden leraren daar vaak wel cijfers noteren alvorens ze in het officiële systeem in te voeren.

De studenten presenteerden hun bevindingen een jaar geleden al aan het bestuur van de UvA. In september 2016 kregen ze bericht dat de meeste problemen gerepareerd waren, maar dit bleek nauwelijks het geval. Ook in de maanden erna kwam er geen verbetering en kregen ze geen antwoord meer op meldingen. In overleg met de ethische commissie van hun studie besloten ze daarom hun onderzoek te publiceren.

UvA BlackBoard

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 23-05-2017 15:31 67

23-05-2017 • 15:31

67

Lees meer

Lekken in e-learningsuite BlackBoard laat studenten cijfers aanpassen
Lekken in e-learningsuite BlackBoard laat studenten cijfers aanpassen Nieuws van 30 oktober 2010
Netwerk en systeembeheer

Reacties (67)

-Moderatie-faq
67
65
48
4
0
16
Wijzig sortering
maniak 23 mei 2017 15:37
De UvA is verplicht om data lekken te melden (bron: https://autoriteitpersoon...ing/meldplicht-datalekken ). Als de bevindingen al bekend waren in september 2016 dan moet het data lek al gemeld zijn. Het niet tijdig melden van het lek en actief het probleem op te lossen vind ik boete waardig om zo een daad te stellen naar andere organisaties.
0xygen500 @maniak23 mei 2017 15:39
De Autoriteit Persoonsgegevens kan bij overtreding van de meldplicht datalekken uit de Wet bescherming persoonsgegevens een boete opleggen van maximaal 820.000 euro. Voor overtreding van de meldplicht datalekken uit de Telecommunicatiewet kan de Autoriteit Persoonsgegevens een boete opleggen van maximaal 900.000 euro.
Zer0 @maniak23 mei 2017 16:49
Niet elk lek hoeft gemeld te worden, en er zijn richtlijnen beschikbaar voor instanties om te bepalen of ze wel of niet een melding hoeven doen.
In dit geval kan ik me voorstellen dat een melding niet nodig was, aangezien er geen persoonsgegevens van gevoelige aard zijn gelekt.
siepeltjuh @Zer023 mei 2017 17:55
Behaalde cijfers, opkomst, gevolgde vakken gecombineerd met emailadres en naam lijkt mij in bepaalde context wel degelijk gevoelig. Maar of je dan wel of niet meldplichtig bent weet ik niet, daarvoor gaan die richtlijnen me wat te veel de diepte in.

Kan het zijn dat de UvA wel een melding gemaakt heeft, maar verder wat laks reageert? Of zit er een verbetertraject (met audit/controle) vast aan een melding?
pvcholten @siepeltjuh23 mei 2017 23:44
Het enige 'datalek' is een lijst met e-mailadressen, namen en accountnamen.

'Datalek' tussen quotes, omdat het vrij normaal is dat je binnen een school naar e-mailadressen van anderen kan zoeken.

De gegevens die jij noemt, zijn beschikbaar omdat men de gebruikersnaam als wachtwoord gebruikt. Dat is een User-error van de eigenaar van het account
mae-t.net @pvcholten24 mei 2017 12:08
Een user error is ook een datalek (vergelijk het kwijtspelen van een stapel papier of een USB-stick). Het enige verschil is dat de rechter gaat kijken of de universiteit de boete moet krijgen of de betreffende docent.
Zer0 @mae-t.net24 mei 2017 12:43
De boetes worden niet door de rechter maar door de Autoriteit Persoonsgegevens opgelegd, en niet aan een persoon.
Pas in 2018 worden bepaalde personen binnen een organisatie ook persoonlijk aansprakelijk, maar dan praat je over bewindvoerders, niet normaal personeel.
ocarina @pvcholten24 mei 2017 10:56
De gegevens die jij noemt, zijn beschikbaar omdat men de gebruikersnaam als wachtwoord gebruikt. Dat is een User-error van de eigenaar van het account
Dat is niet alleen een user-error. Het is echt heel dom, dat ben ik met je eens, maar als ontwikkelaar moet je dat soort wachtwoorden gewoon niet toestaan.
siepeltjuh @pvcholten24 mei 2017 18:18
Volgens het artikel was er veel meer te halen dan gebruikersnamen en emailadressen:
Zo konden ze nog niet gepubliceerde examens en cijfers van studenten inzien, studenten aan lessen toevoegen, de inhoud van lessen aanpassen enzovoort. Ook konden ze cijfers aanpassen. Officieel gebruiken docenten Blackboard niet voor het beheren van cijfers, maar in de praktijk zouden leraren daar vaak wel cijfers noteren alvorens ze in het officiële systeem in te voeren.
mae-t.net @Zer024 mei 2017 12:06
Wat valt onder gevoelige aard? Dat er wel degelijk persoonsgegevens gelekt zijn, is duidelijk.
Zer0 @mae-t.net24 mei 2017 12:40
Ik zou zeggen, lees de richtlijnen die ik gelinkt heb eens door, daar staan genoeg aanwijzingen in.
Origin64 23 mei 2017 15:53
De blackboard omgeving van de tudelft bevat ook nodige gebreken. als in een browsersessie waarin je niet in blackboard bent aangemeld, je een directe link van een bestand, bijv. pdf, opent, dan wordt eerst om je username password gevraagd. druk je escape en dan f5, krijg je de content zonder pw. handig icm de opties van browsers om paginas te heropenen als je het programma sluit en weer opent, hoef ik alleen aan te melden als ik een nieuwe opdracht moet downloaden. maar vanuit security is het niet echt gewenst. iedereen die de links kan vinden kan al het lesmateriaal gebruiken.

[Reactie gewijzigd door Origin64 op 24 juli 2024 06:17]

0xygen500 @Origin6423 mei 2017 16:22
Les materiaal of ook online tentamens die nog geprint moeten worden?
Origin64 @0xygen50023 mei 2017 16:24
online tentamens staan in een aparte omgeving, weblab, die de tu afaik zelf onderhoudt.
CAPSLOCK2000
23 mei 2017 16:09
In het wetenschappelijk artikel staat ergens het jaartal 2013. Het zou dus wel eens een oude versie van BB kunnen.
Wat ik me dus afvraag is,
a). Om welke versie van BB gaat het hier?
b). Is dat self-hosted of in de cloud van BB?
c). Wordt er gebruik gemaakt van de SSO van de universiteit of wordt de interne authenticatie van BB gebruikt?

Ik ken een voormalig BB beheerder die jarenlang security meldingen heeft gedaan bij iedere nieuwe versie van BB. Op een gegeven moment gaf hij zelfs hack-lessen aan een groepje secretaresses. Na aan half uur konden ze zelf XSS-aanvallen doen, zonder verder iets van IT te snappen. Na jaren werk begon het z'n vruchten af te werpen en leek BB steeds veiliger te worden. Daarom vraag ik me af over welke versie we het nu eigenlijk hebben.

[Reactie gewijzigd door CAPSLOCK2000 op 24 juli 2024 06:17]

Anoniem: 185627 @CAPSLOCK200023 mei 2017 18:42
a). Om welke versie van BB gaat het hier?
b). Is dat self-hosted of in de cloud van BB?
Uit het gelinkte onderzoeksrapport, § 5.3 ("A5-Security Misconfiguration"):
"An initial test done during the orientation phase of
this research already pointed out that the UvA is using Blackboard version
9.1.120113.0 one Apache 2.2.15 for Red Hat in their implementation."

Uit het gelinkte onderzoeksrapport, § 6.6 ("A9-Using Components with Known Vulnerabilities"):
"Since the UvA’s current version of Blackboard originates from 2013 it is plausible
that a lot of security issues are known for this version. Next to this, Apache
version 2.2.15 is used on a Red Hat machine. Apache 2.2.15 has 24 known
security vulnerabilities[19]. Apache Tomcat 6.0.35 is used by the web service
for Java servlets. The running version contains 25 security vulnerabilities[20]
and originates from 23-1-2012. The Red Hat version running on the machine is
version 6.7 and it has known vulnerabilities as well[21]."
c). Wordt er gebruik gemaakt van de SSO van de universiteit of wordt de interne authenticatie van BB gebruikt?
Uit het gelinkte onderzoeksrapport, § 6.3 ("A5-Security Misconfiguration"):
"Next to all this, a proper password policy is not enforced for local accounts.
Imported users from a different system that uses password policy enforcement
are secure, but the local user accounts form a problem."

Uit het gelinkte onderzoeksrapport, § 6.8 ("Grey-box test"):
"Administrators log in using local accounts, generated without any
password policy. They use the same login page as normal users. This page is
vulnerable for downgrade attacks, session cookies can be stolen and log in over
HTTP is possible."

Btw: het rapport is m.i. een 'interesting read'. De toon en woordkeuze is vermakelijk en de weergegeven situatie bij de UvA m.b.t. deze omgeving, en het management ervan,
ontnuchterend opmerkelijk , maar helaas -zeker- niet uniek.


Aangepast: [indent] wordt niet ondersteund.
Leader98 23 mei 2017 15:37
" Hieruit bleek dat 10.805 accounts de accountnaam als wachtwoord gebruikten." 8)7
Dat zou toch niet eens mogelijk mogen zijn?
Standeman @Leader9823 mei 2017 15:38
In principe niet, maar dan krijg je wachtwoorden als password of 123456. Uiteindelijk is het een user error, hoewel je er ook echt wel wat aan kan doen om de gebruiker daar in te sturen.
Gamer1120 @Standeman23 mei 2017 16:05
Dat hoeft niet, kijk bijvoorbeeld naar de Password Requirements Policy van de University of Stanford: https://uit.stanford.edu/...unts/passwords/quickguide
PizZa_CalZone @Gamer112023 mei 2017 16:17
Dat ziet er al een stuk beter uit. Maar ik lees daar dat ze het niet nodig vinden om bij wachtwoorden van 20 karakters of meer, speciale tekens of hoofdletters te gebruiken. Leuke voorlichting maar niet helemaal correct.

[Reactie gewijzigd door PizZa_CalZone op 24 juli 2024 06:17]

Wh4ck0 @PizZa_CalZone23 mei 2017 16:31
https://xkcd.com/936/

Bij 20+ karakters is de entropy zo hoog dat dat niet zoveel uitmaakt.
HEY_DUDE @Wh4ck023 mei 2017 16:58
Dat is ook geen goede manier. Een Dictionary attack met de paar duizend meest voorkomende woorden zorgt voor een drastische daling van de entropy. Je actieve vocabulaire is iets van 6000 woorden, waarvan er een paar duizend geschikt zijn voor de horse staple battery wachtwoorden.
Anoniem: 2198 @HEY_DUDE23 mei 2017 17:07
Dit heet diceware, en is wel degelijk *erg* sterk: https://www.eff.org/dice
Anoniem: 116604 @HEY_DUDE23 mei 2017 20:08
Ik heb een actieve vocabulaire in meerdere talen, en kan bogen op aardig wat jargon in die talen. Dat betekent dat in plaats van 6000^4 ik op 20000^4 o.i.d. zit. Dat is dus een stijging van 1,3*10^15 combinaties naar 1,6*10^17. Geen enkele cracker—uitgezonderd degenen die in opdracht van een overheid werken—die daarvan een rainbow table gaat maken, of de zaak gaat bruteforcen. Als ik makkelijke spelfouten ga introduceren, of fonetisch ga schrijven (korrekt hors betterie steepel) wordt het zo goed als onmogelijk om de zaak te raden.

Mijn conclusie: gewoon gebruiken dus als je om de een of andere reden niet aan Keepass o.i.d. wilt of kunt.
familyman @Anoniem: 11660424 mei 2017 08:37
Tenzij 4 hackers uit verschillende landen samenwerken.... De bibliotheek voor de Rainbow table is geduldig en kan eenvoudig worden uitgebreid met elk onderzoek over zwakke wachtwoorden uit elk land.

Ik zou mijn woordenschat ten opzichte van dit geweld maar niet overschatten....
mae-t.net @familyman24 mei 2017 12:03
"kan eenvoudig worden uitgebreid met elk onderzoek over ZWAKKE wachtwoorden"

Ik hoop dat je inziet waarom die zin langs zijn doel schiet.
familyman @mae-t.net24 mei 2017 12:54
Oh ja?

De 6,000 meest gebruikte woorden pre-hashen en in een regenboog tabel gooien, was waar ik het over had...
mae-t.net @familyman25 mei 2017 14:31
Kan best zijn, maar het bericht waar je op reageerde heeft het over 20.000 woorden en dus NIET over 6.000 en al helemaal niet over het gebruik van bekende zwakke wachtwoorden. Dus jouw reactie schiet recht langs het bericht waar je op reageert heen, hoewel hij opzich inhoudelijk niet onjuist is.

[Reactie gewijzigd door mae-t.net op 24 juli 2024 06:17]

Anoniem: 420148 @PizZa_CalZone23 mei 2017 16:39
Wel correct. Spaces zijn ook "special characters", dus worden ze wel degelijk gebruikt én aangeraden.

Zie ook: https://www.owasp.org/index.php/Password_special_characters

[Reactie gewijzigd door Anoniem: 420148 op 24 juli 2024 06:17]

Xanaroth @Standeman23 mei 2017 16:10
Zelfs een bizar slecht wachtwoord (password, 123456, etc) is relatief veilig te maken met zaken als limiteren van log-in pogingen en na x fouten een paswoord reset forceren. Tegen de tijd dat je ze allemaal geprobeerd hebt is het account al gelocked. Gooi daarbij een naam =/= paswoord en geforceerd paswoord veranderen na 1e log-in om van het standaard wachtwoord af te komen en je bent al aardig op weg om zwakke wachtwoorden toch relatief veilig te maken.

Klein beetje je best doen, zou bijna zeggen op het niveau van een paar vinkjes omzetten, kan toch al heel veel van de problemen in dit document voorkomen ongeacht wat de user uitspookt.

Maakt het daarmee ook des te bijzonder dat deze problemen niet alleen nog bestaan anno 2016/2017, maar ook dat ze deze in ruim 1 jaar tijd niet gefixed krijgen. Merendeel zou maximaal een week mogen kosten voordat het opgelost is.


edit: helemaal ironisch dat studenten dit voor elkaar krijgen. Betekend dat de studenten dus beter bekend zijn met de materie, dan de betaalde professionals met afgeronde opleidingen die de UvA in dienst heeft. Klinkt alsof het daar tijd wordt voor een kleine reorganisatie...

[Reactie gewijzigd door Xanaroth op 24 juli 2024 06:17]

lappro @Xanaroth23 mei 2017 18:51
Tenzij daar weer in doorgeslagen wordt.
  • Tussen de 8 en x karakters bv.
  • Bergen eisen aan de hoeveelheid karakters.
  • Iedere 6 maanden je wachtwoord veranderen.
  • Je wachtwoord mag niet hetzelfde zijn als 1 van al je wachtwoorden die je ooit gebruikt hebt.
Als je vervolgens het je ook nog moeilijk gemaakt wordt door met wachtwoord managers te werken omdat je overal constant je wachtwoord moet invullen dan speel je slechte wachtwoorden ook in de hand.

En dat is een beschrijving van de huidige situatie bij Avans.
Steef435 @lappro23 mei 2017 19:16
Idem bij Universiteit Leiden. Ik vind vooral het bestaan van een (laag) upper limit belachelijk.
JannyWooWoo @lappro24 mei 2017 07:34
Dwingen tot veranderen iedere x maanden blijkt er voor te zorgen dat mensen juist slechtere passwords gebruiken omdat die makkelijker te onthouden zijn. Dit is al sinds de jaren 90 bekend en nog steeds gebruiken de meeste bedrijven deze regel.

Een sterk 12+ karakter permanent password is veel veiliger.

Zie hier verder voor meer redenen waarom password expiration geen goed idee is.
mae-t.net @Xanaroth24 mei 2017 12:05
edit: helemaal ironisch dat studenten dit voor elkaar krijgen. Betekend dat de studenten dus beter bekend zijn met de materie, dan de betaalde professionals met afgeronde opleidingen die de UvA in dienst heeft. Klinkt alsof het daar tijd wordt voor een kleine reorganisatie...
Ironisch maar niet ongebruikelijk. Universiteiten weigeren vaak om de intern aanwezige kennis te gebruiken voor het eigen nut. Management huurt liever een externe partij in en heeft zelf niet de expertise om te beoordelen of die goed werk leveren. In bijvoorbeeld Delft ook een vrij algemene ziekte, in elk geval in de automatisering in de tijd dat ik daar rondliep.
Leader98 @Standeman23 mei 2017 15:40
Uiteindelijk is de gebruiker de zwakste schakel maar je zou deze wel wat moeten pushen om zo veilig mogelijk te werken.
Biscuit @Standeman23 mei 2017 15:44
Simpelweg via email een tijdelijk wachtwoord sturen en na de eerste inlog het wachtwoord veranderen is naar mijn weet gewoon mogelijk.
Gebruikers zijn lui, maar dat houdt niet in dat dit hun schuld is, wellicht hebben ze maar een enkele keer ingelogd.
MrGeek @Leader9823 mei 2017 15:40
Zal wel het initieel wachtwoord zijn en van mensen die dit misschien nog niet hadden gewijzigd of effectief nog nooit ingelogd zijn geweest?

In ieder geval te gek voor woorden!
Anoniem: 221563 @Leader9823 mei 2017 15:40
Als het een beetje lijkt op het systeem wat ze bij mij vroeger op school hanteerde dan log je in met je studentnummer. Ze zullen de default wachtwoorden wel op hetzelfde hebben gezet met de instructie dat dit aan de leerling is om aan te passen.

*Niet om het goed te praten, plus pure speculatie
vide @Leader9823 mei 2017 15:48
Standaard instellingen van Active Directory laat dit niet toe (wachtwoord en gebruikersnaam hetzelfde). Dus vermoedelijk gaat dit over interne accounts van het systeem, gezien de meeste blackboard systemen toch wel via LDAP zullen integreren met het windows domein van de instelling. Het was in het verleden echter wel mogelijk om bij het uploaden van accounts daar nog een wachtwoord aan mee te geven dat je als fail-over kon gebruiken.
jpsch 23 mei 2017 15:54
UvA Heeft 30K studenten, 5K personeel, kom je op 35K. Rond dat naar boven af (losse accounts voor beheer of afdelingen of zo). Zijn er 100K meer accounts dan gebruikers. Klinkt mij als testaccounts of oude niet actieve accounts. Daar zouden best acc=pw op mogelijk zijn.

http://www.uva.nl/over-de...rs/feiten-en-cijfers.html
CAPSLOCK2000
@jpsch23 mei 2017 16:05
UvA Heeft 30K studenten, 5K personeel, kom je op 35K. Rond dat naar boven af (losse accounts voor beheer of afdelingen of zo). Zijn er 100K meer accounts dan gebruikers. Klinkt mij als testaccounts of oude niet actieve accounts. Daar zouden best acc=pw op mogelijk zijn.

http://www.uva.nl/over-de...rs/feiten-en-cijfers.html
Na 5 jaar zijn die 30K studenten weer vervangen door 30K andere studenten. Veel organisaties ruimen nooit oude accounts op, je weet nooit of iemand later nog terugkomt. Een universiteit heeft veel te maken met studenten die instromen, uitstromen en weer terugkomen. Ik vermoed dus dat ze oude accounts laten bestaan. Dan groeit het aantal accounts met duizenden per jaar.
Korvaag @CAPSLOCK200024 mei 2017 10:16
Oudere versies van BlackBoard haddden de beperking dat als je een user zou verwijderen en daarna een user zou aanmaken met dezelfde naam, dat deze nieuwe user alles te zien kreeg van de verwijderde user.

Het is een tijdje geleden dat ik gekoppeld heb met BlackBoard, dus ik *vermoed* dat dit er nu wel uit is, maar het niet verwijderen kan een legacy procedure zijn vanuit een oude versie.
Slavy 23 mei 2017 15:48
Blackboard, had niet verwacht dat iemand dat achterhaalde systeem nog gebruikte.
Anonymoussaurus @Slavy23 mei 2017 15:50
Er zijn nou eenmaal niet zoveel alternatieven. Het is gewoon gebruiksvriendelijke omgeving waar je als student zo'n beetje alles kan, van je mail direct openen, als school opdrachten, als het opslaan van bestanden op de cloud van je school.
The Zep Man
@Anonymoussaurus23 mei 2017 16:00
Het is gewoon gebruiksvriendelijke omgeving waar je als student zo'n beetje alles kan
Blackboard is van alles: gatenkaas, hopeloos verouderd, iets wat zowel studenten als docenten maar al te vaak vermijden... Gebruiksvriendelijk zou ik het echt niet noemen.

Op verschillende hoge scholen en universiteiten rondgewandeld. Er waren veel docenten die uit wanhoop maar eigen websites gebruikten. Blackboard werd enkel gebruikt om URL's naar zulke sites te verspreiden.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 06:17]

svenk91 @The Zep Man23 mei 2017 16:59
Door vele exchanges en joint degrees etc. etc. heb ik nu in 3 jaar 5 systemen moeten gebruiken, geen werkte zo fijn als Blackboard in me jaren daarvoor.

Ik wil zeker niet zeggen dat blackboard goed is (ik vond het ook een draak toen ik aan de UT zat), maar in relatie tot de alternatieven is het zeer gebruiksvriendelijk. Tenminste, als de docent blackboard fatsoenlijk inzet, mijn ervaring is dat het succes van blackboard erg docent afhankelijk was (waar andere systemen ten alle tijden falen).
ThomO @Anonymoussaurus23 mei 2017 16:15
Gebruiksvriendelijk? Kan je dit toelichten? Wat 'functionaliteiten' opnoemen zegt niets over gebruiksvriendelijkheid. Als er iets is over Blackboard wat ik me kan herinneren is dat ik ik het verschrikkelijk vond om te moeten gebruiken..
Anonymoussaurus @ThomO23 mei 2017 16:32
Dit kan ik zeker toelichten :).

BlackBoard is een soort van alles-in-1. Zo heb je (bij ons) een aantal vakjes waar een hyperlink onder zit: http://imgur.com/ScdmCFU
Zo hoef je niet apart naar die URL's te zoeken. Vind ik toch best gebruiksvriendelijk als je het mij vraagt..

Het enige wat nog onduidelijk is af en toe, is het navigeren naar opdrachten. Voorbeeld: http://imgur.com/QS4xzzn Hierin heb je bijvoorbeeld opnieuw meerdere opties. Je wordt dus meerdere keren doorgestuurd, maar goed, dat ligt aan de BlackBoard beheerders van m'n school, dat zij dit zo indelen.

[Reactie gewijzigd door Anonymoussaurus op 24 juli 2024 06:17]

mooiboi @Slavy23 mei 2017 15:56
Ze gaan binnenkort over naar Canvas (http://www.tel.humanities.uva.nl)
Lampie @mooiboi23 mei 2017 16:02
Dat verklaart waarschijnlijk een hoop. Er is geen, of heel weinig budget meer toegewezen aan onderhoud van Blackboard. Alles gaat naar de nieuwe applicatie.
QErikNL @Slavy23 mei 2017 15:57
Het kost ettelijke miljoenen om een systeem als dit aan te passen, zeker als we praten over een universiteit met de grootte van de UvA.
jochem4207 @Slavy23 mei 2017 18:35
Heel veel hogescholen en universiteiten in Nederland ;)
Anonymoussaurus 23 mei 2017 15:46
Ze kwamen er al snel achter dat inloggen bij Blackboard weliswaar via https gaat, maar dat gebruikers na een succesvolle login verbinding maken via onversleuteld http. Dit maakt man-in-the-middleaanvallen op sessies mogelijk zodra een doelwit via publieke hotspots verbinding maakt.
Het ligt er maar net aan hoe je school dit heeft geregeld. Op mijn school maken wij ook gebruik van BlackBoard, en bij ons gaat het als volgt: BlackBoard is HTTPS > je drukt op "inloggen" > wordt doorverwezen naar de Office365 pagina die eveneens over HTTPS gaat > je wordt ge-redirect naar de proxy van m'n school (via HTTPS) > redirect naar SurfNET (voor DdoSs protection en ook via HTTPS) > uiteindelijk beland je op BlackBoard (ook HTTPS).

Het heeft er dus ook mee te maken hoe je school het heeft geregeld en welke beveiligingsmaatregelen zij nemen om dit soort dingen te voorkomen.

Dat zou moeten betekenen dat de proxy van deze school niet over HTTPS gaat, of dat er een onveilige redirect tussen zit.

[Reactie gewijzigd door Anonymoussaurus op 24 juli 2024 06:17]

Sleurhutje 23 mei 2017 16:30
BlackBoard kent (kende) nog wel meer gebreken, o.a. door URL's te manipuleren kon je bij de info en foto van mede-studenten komen. Dat is ondertussen al gepatched.
vegetoot 23 mei 2017 16:43
It's not a bug, it's a feature (Ctrl-F: not blank)
De KU Leuven heeft deze mogelijkheid gebruikt een 'list all to find all of your students' te vinden. Kennelijk zijn de rechten niet genoeg ingeperkt bij de UvA.
Khalon1 23 mei 2017 17:06
Ik ben dit studiejaar 2016/2017 tot dezelfde ontdekking gekomen, dit heb ik gelijk gemeld bij iemand die erover ging. De wachtwoorden van de accounts waar ik toegang tot had, waren binnen een week veranderd. Verder is het mogelijk dat de lijst met namen, studentennummers en emailadressen van 144351 accounts kan worden gepubliceerd. Ik heb een deel van de lijst bekeken en kon rond de 1000 test account vinden, een groot deel van de accounts zijn dus van studenten en docenten.
Vraag mij af wat een marketingsbedrijf in Amsterdam biedt voor een lijst met namen en emailadressen van alle Uva studenten.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq