Saxion-studenten krijgen ongevraagd duizenden e-mails door interne mailing

Studenten van Hogeschool Saxion krijgen duizenden e-mails omdat zij op een mailinglijst zijn gezet. De kettingreactie begon bij een student die een mailtje stuurde aan meerdere academies. De Autoriteit Persoonsgegevens spreekt van een datalek.

Een student zegt dat het inmiddels om tweeduizend e-mails gaat. Volgens Tubantia begon het met een mailtje van een student van de Academie Creatieve Technologie, dat hij richtte aan meerdere academies. Een ander zou honderden medestudenten en docenten hebben toegevoegd aan die mailing, waarna de geadresseerden reacties stuurden die weer bij iedereen terechtkomen. In reacties op de massamail vragen geadresseerden bijvoorbeeld om verwijderd te worden van de lijst, ook worden er 'komische' e-mails verstuurd, waaronder verzoeken om te daten en betaalverzoeken.

Saxion bevestigt op Twitter dat er een 'spam of mass mail' rondgaat, die gestuurd is naar diverse mailgroepen binnen Saxion. Het computer security incident and response-team van de onderwijsinstelling zoekt uit wat er precies is gebeurd en welke acties ondernomen moeten worden. Saxion verzoekt iedereen om niet op de e-mails te reageren.

De Autoriteit Persoonsgegevens stelt tegenover Tubantia dat er sprake is van een datalek, omdat er massaal mailadressen van studenten en docenten gedeeld worden. Een e-mailadres is een persoonsgegeven. Volgens de woordvoerder van de autoriteit moet de hogeschool zorgen voor adequate beveiliging van persoonsgegevens en lijkt dat hier niet goed te gaan.

Saxion heeft eigen regels tegen het versturen van e-mail aan grote groepen gebruikers, maar wat precies de sancties zijn, is onduidelijk. De hogeschool laat tegenover Tubantia weten 'hartstikke alert' te zijn op de privacy van studenten en docenten, en zegt als die geschonden is, melding te zullen doen bij de Autoriteit Persoonsgegevens.

IT-banen

Reacties (81)

keranoz

31 oktober 2018 16:29

Het begon met een mailwisseling gericht aan de ACT, waar ik zelf ook onderdeel van ben.

Als eerste kwam er een email met het verzoek om aan een onderzoek mee te doen over Green Office en Environmental Sustainability. Dit soort emails met onderzoeken zijn vrij normaal, deze krijgen we regelmatig (paar keer per maand). Echter werd op deze mail meerdere keren gereageerd door anderen met andere onderzoeken en de vraag of mensen hier ook aan mee wilden doen.

Iemand reageerde vervolgens met nog een "onderzoek" met een YouTube video. Dit was een rickroll. Een link naar Rick Astley’s Never Gonna Give You Up. Toen barstte de bom. Dit was allemaal nog binnen de ACT, om 11:37 was dit.

Een half uur en een paar honderd emailtjes later betrok iemand er meer acedemies bij als grap. Elke acedemie heeft een eigen mailgroep waar alle leden inzitten, bedoeld voor leraren en coördinatoren. Elke mailgroep bevat voor zo ver ik toen zag tussen de 1000 en 3500 leden, en nu zitten er zo'n 9 of 10 in "de explosie". Tel maar uit. Later zijn er ook mailgroepen met leraren aan toegevoegd.

Ik heb zelf tussen 11:40 en 14:47 1629 emailtjes ontvangen. Iedereen begon te spammen, Instragram acounts te promoten, en tikkies sturen, naar een dikke 10k mensen.

Het is dom van Saxion om deze grote mailgroepen niet te limiteren denk ik. Het is in Office 365 (wat Saxion sinds deze zomer gebruikt) prima mogelijk om het alleen voor bepaalde mensen mogelijk te maken dergelijke mailgroepen te gebruiken. Dit had dus prima voorkomen kunnen worden.

[Reactie gewijzigd door keranoz op 23 juli 2024 21:18]

mae-t.net @keranoz • 31 oktober 2018 17:01

Maar als het om een mailgroep of maillijst ging, hoe zijn dan de adressen gelekt? Als iemand zijn eigen adres lekt door te reageren, stond hij dus kennelijk al op de mailinglijst en heeft vrijwillig zijn eigen adres doorgegeven.

keranoz

@mae-t.net • 31 oktober 2018 17:03

Er werden gewoon mails gestuurd met grote mailgroepen (1000+ leden) in de to of cc.

Cebby

@keranoz • 31 oktober 2018 17:11

Dan zijn ze dus niet gelekt toch? Alleen de groep is gebruikt en niet de persoonlijke e-mailadressen.

keranoz

@Cebby • 31 oktober 2018 17:22

Jawel, want je kan prima zien wie er allemaal in een groep zit (adressen). Maar waar de autoriteit personnsgegevens zich vooral druk om maakt is het delen van de adressen op social media.

[Reactie gewijzigd door keranoz op 23 juli 2024 21:18]

Arnoud Engelfriet @keranoz • 31 oktober 2018 18:59

Hoe kun je dat zien?

Ik ben gewend dat als je een groep toevoegt aan een mail, dat die mensen dan als bcc de mails krijgen en dat in het to: veld alleen de naam van de groep staat. Het voelt erg raar dat bij Saxion het toevoegen van de groep iedereen@ er voor zorgt dat letterlijk iedereen z'n mailadres ineens zichtbaar wordt toegevoegd. Werkt dat echt zo?

keranoz

@Arnoud Engelfriet • 31 oktober 2018 19:04

De groepnamen stonden in de to en cc. Als ik erop dubbelklik in Outlook opent er een venstertje met namen wie er allemaal in de groep zit. Iets als:

Members:
Jantje Pietersen, Peter Jansen, John Doe, Pieter Petersen + 3350

(In het geval van de ACT groep)

Bij m'n vorige werkgever was het ook zo.

EDIT: @Arnoud Engelfriet Ik bedacht mij gisterenavond dat je wel gelijk hebt, net zoals een aantal anderen hier. Ik heb de hele tijd, in al mijn reacties, gepraat over mailgroepen, maar dit is onjuist, technish gezien. Het zijn distributiegroepen volgens mij, waar je dus wel makkelijk de inhoud van kan inzien. Dus niet iedereen@, bijvoorbeeld.

[Reactie gewijzigd door keranoz op 23 juli 2024 21:18]

kodak

Internet

@keranoz • 31 oktober 2018 19:50

Maar dan bestond dat vermeende datalek al via outlook doordat een onbevoegde via het mailprogramma te veel informatie kan inzien. Dat je mail kan ontvangen dat ook gericht is aan een groepsadres is op zich geen lek van persoonsgegevens. En dat iemand een groepsadres ooit kan ontvangen maakt het intern 'geheim' of 'onbekend' houden van een groepsadres eerder een onbetrouwbare vorm van security by obscurity.

keranoz

@kodak • 31 oktober 2018 20:10

Eensch. Maar het is alleen inzichtelijk voor studenten en personeel, is dat nog steeds een datalek?

Volgens mij is het probleem nu vooral het op social media knikkeren er van

kodak

Internet

@keranoz • 31 oktober 2018 20:41

Eensch. Maar het is alleen inzichtelijk voor studenten en personeel, is dat nog steeds een datalek?

ik zie niet in waarom persoonsgegevens van iedereen voor iedereen inzichtelijk zouden moeten zijn alleen maar omdat de personen onder dezelfde merknaam vallen. Tenzij de eigenaar er expliciet toestemming voor heeft gegeven voor een redelijk doel. Want wat heeft een student of medewerker van de ene academie of opleiding er mee te maken welke studenten of medewerkers er op andere opleidingen of academies van hetzelfde merk bestaan? Het kan handig zijn? Ja vast. Maar is het ook noodzakelijk voor het doel waarom iemand die gegevens nodig heeft? Studenten (klanten) en docenten (medewerkers) hebben niet zomaar minder rechten omdat de dienstverlener een opleidingsinstituut is die groot is.

[Reactie gewijzigd door kodak op 23 juli 2024 21:18]

keranoz

@kodak • 31 oktober 2018 22:17

Goed punt. Ik denk vooral dat het gemak en misschien een beetje laksheid is. Het echt wel makkelijk om op basis van iemands naam diegene z'n studentnummer op te zoeken en dus z'n email.

Ik ben bijvoorbeeld bezig met het regelen van een minor in de VS, er wordt me af en toe verteld dat ik even contact op moet nemen met Jan Jansen. Dan is kan Jan Jansen's email adres zo opzoeken als hij bij Saxion bekend is.

Anoniem: 1322 @kodak • 31 oktober 2018 22:18

Het is een vreemd iets maar bij ieder bedrijf het geval. Active Directory bijvoorbeeld is gewoon een LDAP server welke, iedereen met een account binnen het bedrijf, uit kan lezen. Je kunt dus alle andere accounts (gebruikers, computers, servers) inzien. Ook Exchange (waar Office 365 / Exchange online op draait) zal standaard een adresboek aanmaken met alle gebruikers binnen de organisatie. Zo kun je makkelijk en snel iemand binnen de organisatie vinden.

Helaas in grote organisaties wordt het een probleem. De meeste distributiegroepen zijn bij deze organisaties beveiligd zoals hierboven al benoemd wordt. Helaas is er vaak eerst een incident nodig voor men hiernaar kijkt.

Anoniem: 1133243 @kodak • 31 oktober 2018 20:40

Het is opzich vrij simpel.

Binnen het Saxion zijn mailgroepen gemaakt voor verschillende academies, verschillende klassen etc. etc. etc.

Deze mailgroepen zijn gemaakt op basis van het emailadres wat door de school aan een student wordt toegekent en zijn voor alle applicaties van het Saxion te gebruiken.

Het "datalek" bestaat dus uit 3 delen; de voornaam, de achternaam en het leerlingennummer van de studenten.

Om deze informatie in te kunnen zien moet je dus lid zijn van het Saxion d.m.v. een saxion e-mail adres etc.

Cio @Anoniem: 1133243 • 31 oktober 2018 21:18

4. Uit de groepsnaam is ook (deels) af te leiden wat iemand doet.

mae-t.net @keranoz • 1 november 2018 15:11

Maar zelfs bij een distributielijst hoort zoiets toch in de BCC terecht te komen, als de mailclient niet heel erg brak is. Ik stel me voor in de rechteronderhoek van het scherm, Clippy popt omhoog en vraagt "Wilt u echt mail met 1000 mensen in de CC versturen? Nee, Nee of Nee?"

keranoz

@mae-t.net • 1 november 2018 16:56

Blijkbaar gebeurd dat niet, wel raar inderdaad.

mjtdevries @mae-t.net • 1 november 2018 16:58

Er zijn veel situaties in een bedrijf waarin het belangrijk is om te kunnen zien naar wie een mail allemaal gestuurd is. Daarom is de CC optie absoluut nuttig.

Een pop-up zoals jij voorstelt zou wel verstandig zijn als je in de gelegenheid bent om naar 1000 mensen te versturen.

Maar in grote bedrijven weten ze al 20 jaar lang dat je mailbommen krijgt als mensen naar grote distributlijsten kunnen sturen. (sinds email binnen bedrijven normaal werd) en kun je dus nooit naar zulke grote distributielijsten sturen, omdat maar een beperkt aantal mensen dat recht heeft.

Daar zal zo'n popup voornamelijk gebruikt woren als je naar bv 20+ mensen in de CC wilt sturen naar addressen buiten het bedrijf. Want dan is de kans groot dat het verschillende klanten zijn en die mogen elkaars adressen niet zien.
Dat is ook het grootste probleem bij Saxion. Die 1500 mails is een beetje vervelend in je mailbox, maar dat zal niet zo vaak gebeuren en de servers kunnen dat makkelijk aan. Dat die mails naar buiten zijn gegaan is het grote probleem, want dat is een datalek.

mae-t.net @keranoz • 1 november 2018 15:06

Als je zomaar kunt zien wie er in de mailgroep zit, is Saxion de enige aansprakelijke. Correct geconfigureerde mailinglijsten (hooguit de afzender zichtbaar maar zeker niet al de andere leden) bestaan al sinds ongeveer het uitsterven van de dinosauriers. Ik heb de tijd nog meegemaakt dat mensen wel eens CC gebruikten in plaats van BCC, maar ook toen gebruikten veel bedrijven en instellingen al software om dat soort debacles te voorkomen.

[Reactie gewijzigd door mae-t.net op 23 juli 2024 21:18]

henkkeumus @keranoz • 1 november 2018 13:31

Reactie Saxion:

Hogeschool Saxion is woensdagmiddag 31 oktober geconfronteerd met een ware mailexplosie. Studenten, docenten en medewerkers ontvingen ongewenst in korte tijd een groot aantal berichten in hun mailbox.
Uit intern Saxion-onderzoek door het Computer Security Incident Response Team (CSIRT) is gebleken dat studenten van de mogelijkheden gebruik hebben gemaakt om adreslijsten in te zetten voor het werven van deelnemers aan hun onderzoeksopdracht.
In dit geval echter reageerde een medestudent die zich stoorde aan deze vorm van spam, door vervolgens honderden andere medestudenten en docenten toe te voegen aan de betreffende mailing. De geadresseerden reageerden -via ‘reply to all’ -over en weer op elkaar; hierdoor ontstond er een sneeuwbaleffect en ontvingen sommige studenten of docenten tot wel 1.500 e-mails.
Oorzaak Dat deze mailexplosie heeft kunnen ontstaan heeft mede te maken met de toegang die studenten en medewerkers hebben tot diverse mailgroepen. Dit blijkt mogelijk binnen het mailsysteem van Microsoft waar Saxion recentelijk naar is overgestapt. Het Saxion CSIRT heeft direct maatregelen getroffen om het gebruik van diverse mailgroepen te beperken. Deze maatregelen zullen verder worden aangescherpt om het oneigenlijk gebruik van mailgroepen in de toekomst te voorkomen.
Saxion betreurt de gang van zaken omdat dit tot veel overlast heeft geleid binnen de organisatie en gaat in gesprek met de studenten die deze mailexplosie hebben veroorzaakt.
Gezien de hoeveelheid medewerkers en studenten die dit betreft, heeft Saxion hiervan een melding gedaan bij de Autoriteit Persoonsgegevens.

Zodra er meer informatie beschikbaar is, wordt dit op MijnSaxion bekend gemaakt.

mjtdevries @henkkeumus • 1 november 2018 16:39

Fraaie zinsnede die ze gebruiken:

Dit blijkt mogelijk binnen het mailsysteem van Microsoft waar Saxion recentelijk naar is overgestapt.

Voor een leek (lees: journalisten) lijkt het er dan net op dat ze er niet zoveel aan konden doen, maar dat het eigenlijk aan Microsoft lag.

Terwijl iedere mail admin begrijpt dat Saxion een grote blunder heeft begaan. Zodra je zulke grote distributielijsten hebt, moet je beperken wie er naar toe mag mailen, anders krijg je binen de kortste keren zulke mailbommen. En zeer zeker als het om studenten gaat.

Maar ja, de beheerder daar moet het wellicht "er bij" doen. En dan ontbreekt kennis en ervaring om het netjes in te richten. Voor security worden systemen tegenwoordig als secure-by-design afgeleverd. Je kunt je afvragen of je zoiets ook in dit geval gedaan zou moeten worden.

[Reactie gewijzigd door mjtdevries op 23 juli 2024 21:18]

henkkeumus @mjtdevries • 1 november 2018 17:45

Precies wat je zegt.

Distributielijsten van zulke omvang moeten gedelegeerd worden. Maak desnoods een securitygroep of andere lijst aan mensen personen die de lijst mogen gebruiken om te zenden.

Wanneer studenten ze dan willen gebruiken om een enquete of onderzoek rond te sturen kunnen ze simpel een aanvraag doen en kan de admin ze voor een dag toevoegen aan de betreffende gedelegeerden..

Feit dat het ook nog eens 4u heeft geduurd voor ze onderzocht hadden en de spam stopten siert ze niet nee..

steven2992 @keranoz • 31 oktober 2018 16:49

Veel (alle?) grote bedrijven hebben dit grapje ook al eens of enkele keren mee gemaakt. Meestal gaan de email servers na een paar duizend emails door hun knieen. Daarna worden er wat limieten ingesteld zodat het niet nog een keer zo mis gaat. Alleen hoor je daar niets van.

mjtdevries @steven2992 • 1 november 2018 17:22

Zou wel triest zijn als servers bij grote bedrijven al na een paar duizend emails door hun knieen gaan.

Die limieten werden voornamelijk ingesteld omdat iedereen het super irritant vind en er dus heel snel actie word ondernomen om het te fixen. En de grote bedrijven hebben dit al meegemaakt voor internet populair werd en dan bleef het dus binnen het bedrijf en hoorde je er daarom niets van.
Maar ik zou echt verbaast zijn als er hier iemand anders is die bij een groot bedrijf zoiets heeft meegemaakt waarbij een mailserver onderuit ging.

Ik heb wel ooit gezien dat door een bug in Small Business Server een mail naar een externe klant in een loop terecht kwam. Na 30.000 mails ging hun small business server onderuit. Op mijn servers niks gemerkt, want die trokken dat makkelijk.
Vervolgens bleek de patch voor die bug al ruim een jaar beschikbaar te zijn, maar was niet geinstalleerd.
Erg jammer dat door die bug het voor de ontvanger leek alsof mijn servers de mail 30.000 keer opnieuw hadden gestuurd. Gelukkig konden we bewijzen dat het aan hun eigen server lag

steven2992 @mjtdevries • 2 november 2018 11:22

Het ging dan wel om een paar duizend mails per persoon die binnen kwamen, met 50.000 man personeel heb je het dan in totaal over enkele honderden miljoenen emails die in een uurtje langs komen. Er zijn niet veel mail systemen die daar vrolijk van worden.

johanneslol @keranoz • 31 oktober 2018 17:05

Dit is ook al eens eerder voorgekomen bij mijn school ( Windesheim) Geen haan die er naar kraaide.

DragonChaser @keranoz • 31 oktober 2018 16:36

Externe mail naar interne distributielijsten blokkeren is de norm, behalve op een tech school.
Heerlijk om te zien.

keranoz

@DragonChaser • 31 oktober 2018 16:39

Het waren allemaal interne mailgroepen met Saxion emailadressen. En Saxion is niet alleen een tech school, kijk maar eens: https://www.saxion.nl/over-saxion/organisatie/academies

aequitas

@keranoz • 31 oktober 2018 16:37

Dit was een rickroll. Een link naar Rick Astley’s Never Gonna Give You Up.

Fijn dat je het even toelicht, een boel jonge Tweakers zullen waarschijnlijk nog nooit van dit historische fenomeen gehoord hebben

keranoz

@aequitas • 31 oktober 2018 16:39

Ik heb het simeplweg ge copy-pasted uit m'n mailtje naar Tubantia

aequitas

@keranoz • 31 oktober 2018 17:03

Vermoede al zoiets

SinergyX @keranoz • 31 oktober 2018 16:43

Maar dus omdat 'iemand' het leuk vond, een ander 'iemand' het nog leuker vond, en uiteindelijk 'iedereen' ging lopen spammen met instagram en consorten, is het de schuld van Saxion?

Iedereen begon te spammen, dus het is eigenlijk de schuld van 'iedereen'?

keranoz

@SinergyX • 31 oktober 2018 16:45

Indirect wel, vind ik. Murphy's law hé.

Saxion had het prima dicht kunnen timmeren maar hebben ze niet gedaan. En er wordt ook pas heel laat (uren later) actie ondernomen.

TabCam @SinergyX • 1 november 2018 08:47

Als ze het technisch onmogelijk kunnen maken, en dat kan, dan is het wel faciliteren van spam en e-mailbombing.

Turdie @keranoz • 31 oktober 2018 18:44

Klopt Office 365 bevat Exchange Online, en daar kun je op mailgroepen net zoals in de normale Exchange, message delivery restricties op mail groepen zetten.

42dpi @keranoz • 31 oktober 2018 19:56

Dit is bij ACT al eerder gebeurd, met IBM Lotus Notes nog, bijna zelfde feest qua mails, CC ipv BCC anno 2018 snappen sommigen dit nog steeds niet.

mjtdevries @42dpi • 1 november 2018 17:35

En toen ze naar Office365 over gingen kon niemand zich meer herinneren waarom ze met Lotus Notes restricties hadden ingesteld?

42dpi @mjtdevries • 1 november 2018 21:59

Nee de grap was toen dat je shortcodes had om een hele klas of afdeling te mailen, die gewoon in adressenboek stonden, dus ook iemand die zo'n vragenlijst door mailt in CC en daar weer antwoord op en toen was het hek van de dam, toen kwamen er ook wel meer dan 1000 binnen ging zo'n halve dag door.

deadlock2k @keranoz • 1 november 2018 14:42

Dit had dus prima voorkomen kunnen worden.

Ik werkte daar al in de Pegasus Mail (GroupWise voor de vestiging in Enschede) tijd en heb de nachtmerriemigratie naar Lotus iNotes meegemaakt en toen speelde dit probleem al en werd er niets aan gedaan.

In het algemeen/@AP: En een datalek, al die gegevens zijn ook te harvesten door het adresboek te exporteren, kom nou.

keranoz

@deadlock2k • 1 november 2018 16:59

Ik ben in ieder geval wel blij dat we van Lotus iNotes afzijn, wat een schijt applicatie is dat. Ik deed er eerlijk gezegd nooit wat mee. 1 keer een forward naar m'n persoonlijke mail ingesteld en nooit meer naar gekeken, mail sturen deed ik wel vanaf m'n persoonlijke adres, en een aantal leraren deden dat blijkbaar ook.

deadlock2k @keranoz • 1 november 2018 18:32

Toen ze die troep uitrolden had C1.30 (vroeger heette dat het Studielandschap) alleen maar Pentium 200MHz machines met 32MB geheugen en Windows 2000. We hebben er in één dag toen overal 64MB geheugen ingepropt maar het was nog steeds niet vooruit te branden.

Reden dat er gekozen was voor iNotes?
"Beste Enterprise Message Leveranciers; Wij willen graag 25.000 gebruikers in één systeem, kan dat?"
Microsoft: Zou het niet direct aanraden
Novell: Ja, nou, in de praktijk werkt het wel maar in theorie zijn er wat problemen die echter wel met de volgende versie zijn opgelost
IBM: Ja hoor geen idee, product is alleen nog niet af dus we kunnen ook niet echt iets laten zien.

En wat doet Saxion? Die kiest voor iNotes, de minst goede optie van alle drie die ook nog eens het duurst is en waar exotische hardware voor moet worden binnengerold (AS400) waar we zelf totaal geen expertise voor in huis hebben! Mijn bloed begint nog te koken als ik terugdenk aan hoe dat is gegaan.

keranoz

@deadlock2k • 2 november 2018 08:48

En duurt het ook nog eens tot 2018 voordat Saxion overstapt naar een moderner systeem...

Thanks voor de info!

True 31 oktober 2018 16:32

"18. Het, zonder accordering van de afdeling Communicatie, versturen van E-mail aan grote groepen gebruikers. (voor uitzonderingen zie gedragscode ICT-voorzieningen) "
Sancties zijn vrij duidelijk: "Het ontnemen van mail- en of netwerkaccount voor de duur van 2 weken ". Volgens: 'Procedure Misbruik ICT - Bijlage Sancties studenten.pdf'.

Saillant detail, als je het ziet gebeuren en de IC-desk aan de lijn hebt voordat de 10^e mail verzonden is, krijgen ze het niet voor elkaar tijdig de maillist te blokkeren.

We (de studenten) hebben eerder zo'n probleem gehad met het Saxion, toen was het oplost door de maillists te verwijderen, maar sinds we sinds dit jaar leuk Office365 hebben moet het natuurlijk weer mis gaan eer iets goed ingericht wordt.

Ik vraag mij eigenlijk ook af waarom het AP zegt dat dit een datalek is. De maillist blijft intact tijdens het sturen(denk ik) en ontvangen(weet ik), waardoor je niet ziet wie de mails ontvangt. De mailadressen die wel bekend zijn, zijn van mensen die daarna zelf weer een antwoord gestuurd hebben op de verzenders en de maillist. Als je er dan zelf (bewust) voor kiest te antwoorden, is het dan een datalek?, ik twijfel hier ten zeerste aan. Wat overigens wel een datalek is, is dat men nu screenshots post op social media (en Tubantia) om tractie te krijgen, de mailadressen en namen die hierin vermeldt staan treden buiten het Saxion netwerk en zodoende wel een datalek.

[Reactie gewijzigd door True op 23 juli 2024 21:18]

Blokker_1999

Internet

@True • 31 oktober 2018 16:52

Geen idee hoe de ondersteuning is opgebouwd, maar met duizenden gebruikers zal het geen kleine IT afdeling zijn en dan gebeurd het al snel dat de eerstelijnssupport die je als gewone sterveling kunt bereiken simpelweg niet de mogelijkheid heeft om maar iets te doen of als ze de rechten al wel hebben dan ontbreekt vaak de kennis.

En er is zeer weinig dat je kan doen tegen het misbruiken van maillijsten. Die maillijsten bestaan in zitten in je adresboek. Iedereen kan zien welke lijsten er bestaan en als enkele grapjassen dat dan gaan misbruiken kan je daar zeer weinig tegen doen behalve de lijsten verwijderen (wat niet de bedoeling is want die bestaan met een reden) of de misbruikers hun account afsluiten (wat vandaag de dag ook niet echt handig is).

keranoz

@Blokker_1999 • 31 oktober 2018 16:54

Je kan in Office 365 prima opgeven wie het recht heeft om een mailgroep te gebruiken. Iets wat Saxion niet gedaan heeft.

Turdie @Blokker_1999 • 31 oktober 2018 18:47

Message Delivery Restrictions, je kunt voor grote mailgroepen dat er maar bepaalde personen naar mag sturen, dus je zeer weinig kan doen tegen het misbruiken van maillijsten is onzin. Je kunt zelfs instellen dat voor groepen een bericht een moet worden goedgekeurd door een moderator (moderated distribution groups)
https://docs.microsoft.co...s/manage-message-approval

mjtdevries @Turdie • 1 november 2018 17:40

Inderdaad. Daarnaast kan je nog instellen dat iemnd niet naar meer dan xxxx aantal mensen een mail mag sturen. Zodat je ook voorkomt dat mensen de inhoud van de maillijst kopieren en handmatig in het adresveld kopiëren.

True @Blokker_1999 • 31 oktober 2018 19:13

Ik heb intern een onderzoek gedaan tijdens een project m.b.t. facility en IT. Je loopt echt zo bij de facility manager binnen als je weet wie je moet hebben. Voor het ondersteunend personeel intern (IT bijv.) weet je echt wel bij je moet zijn, ongetwijfeld hebben ze anno 2018 veel IT'ers in dienst, maar zoiets als dit moet je in de kiem smoren. Ik heb niet het idee dat de IC/IT helpdeskmedewerkers van het Saxion doorsnee helpdeskmedewerkers zijn. Als IT-student heb ik uitstekende ervaring met hen, ze weten van wanten en gaan er ook wel voor.

[Reactie gewijzigd door True op 23 juli 2024 21:18]

Krulliebol @True • 31 oktober 2018 17:58

"Het ontnemen van mail- en of netwerkaccount voor de duur van 2 weken "
Dat heeft dus weinig zin als een afzender een externe partij is.

True @Krulliebol • 31 oktober 2018 19:05

Behalve dan dat de allereerste mail en de paar antwoorden van studenten waren. Of je ook vanuit een extern mailadres door de maillist heen komt en mail kunt verspreiden via het Saxion netwerk (iets wat behoorlijk bad practice is, met zo'n mega maillist), is iets waar ik geen antwoord op heb, daarnaast weet ik ook niet direct of dit zich daadwerkelijk voorgedaan heeft.

De eerste (mis)bruiker van de maillist zou prima een sanctie kunnen krijgen, ook degene die moedwillig andere maillists toegevoegd heeft zou dit wel verdienen. Nu kan het wel zo zijn, dat de eerste verzender gewoon toestemming had. De andere 'domme' gebruikers die de reply-all in stand hielden kun je het moeilijk kwalijk nemen dat de maillist ten onrechte zo ingesteld staat.

[Reactie gewijzigd door True op 23 juli 2024 21:18]

cedal

@True • 31 oktober 2018 16:51

Ik vraag me af of ze daadwerkelijk alle misbruikers van de aliassen twee weken van hun netwerk en email schorsen, dan ligt de halve instelling op zijn gat.

Overigens zijn er ook een aantal docenten die hebben bijgedragen. Ik ben benieuwd hoe zij erop aangesproken gaan worden.

Dieks77 31 oktober 2018 16:50

De Autoriteit Persoonsgegevens stelt tegenover Tubantia dat er sprake is van een datalek, omdat er massaal mailadressen van studenten en docenten gedeeld worden. Een e-mailadres is een persoonsgegeven. Volgens de woordvoerder van de autoriteit moet de hogeschool zorgen voor adequate beveiliging van persoonsgegevens en lijkt dat hier niet goed te gaan.

Ook als dat binnen de eigen organisatie blijft?
Hoe zit dat dan met b.v. een AD Global Address List?

CJ_Latitude

@Dieks77 • 31 oktober 2018 17:51

Precies, dit vroeg ik mij ook af. Toen ik studeerde op de UT kon je van iedere student gewoon het e-mailadres opzoeken in de GAL (of desnoods raden: v.l.achternaam@student.utwente.nl).

Arnoud Engelfriet @Dieks77 • 31 oktober 2018 19:02

Het komt neer op need to know. Als collega's elkaars mailadres redelijkerwijs nodig hebben voor het werk, dan is dat natuurlijk prima. Bij studenten kun je je afvragen waarom die op voorhand allemaal iedereen z'n mailadres te weten moeten kunnen komen. Zeker als het van andere vakgroepen/faculteiten/afdelingen is, zie ik die noodzaak een stuk minder.

waseland 31 oktober 2018 16:29

Dit gebeurt echt zo vaak, mensen die niet weten dat er iets als BCC bestaat in een mail. Maar je hebt altijd grappenmakers die op reply_all klikken. Zelfs in het werkleven heb ik hier ervaring mee.

bArAbAtsbB @waseland • 31 oktober 2018 16:44

binnen de huidige privacyregels is CC emailen naar mensen buiten je eigen bedrijf (of uberhaupt mensen die je niet kent) zelfs mogelijk een overtreding van de AVG!

SinergyX @bArAbAtsbB • 31 oktober 2018 16:52

Maar dit gaat toch om studenten, niet om het bedrijf zelf? Studenten gooide alles in CC en reply_all, zijn zij dan in overtreding?

bArAbAtsbB @SinergyX • 31 oktober 2018 16:58

iedereen die bij een email in deze "string" op verzenden heeft gedrukt is volgens de wet in overtreding, want emailadressen van mensen gedeeld zonder vooraf toestemming te hebben!

Arnoud Engelfriet @SinergyX • 31 oktober 2018 19:01

Dat valt te bediscussiëren. Maar als het werkelijk zo is dat je door toevoegen van een functioneel mailadres automatisch de achterliggende mailadressen zichtbaar krijgt, dan is dát een datalek van de organisatie, zou ik zeggen. Er is nul reden dat een mail naar studenten@wiskunde.saxion.nl (of whatever) er voor zorgt dat iedereen alle mailadressen van die studenten krijgt.

Kek 31 oktober 2018 16:28

HAHA, dit is ook niet de eerste keer bij het saxion. 12 jaar geleden daar gestudeerd en toen was het ook al eens in de paar maanden raak..

harmageddon

31 oktober 2018 16:29

Zoiets heb ik eerder meegemaakt op het Saxion (15 jaar oid geleden). Begon met iemand die een mail stuurde naar all-users via CC (en dus niet BCC). Waarop de hilarische email wisseling begon over van: stop met mailen!! of haal me van de lijst!! Tot tel de badeendjes etc etc.
Ik kon hier smakelijk om lachen

boeman1995 31 oktober 2018 16:29

Jup, hier heb ik ook last van. Heb met regels maar ingesteld dat ze gelijk in de prullenbak worden gedumpt, maar wel erg vervelend dit.

Sorcerer8472 31 oktober 2018 16:30

Ik heb zo vaak in dit soort mailings gestaan in m'n studietijd. Dit soort mass spam mailings gebeurt best vaak

Goed om te weten dat het ook echt wordt gezien als datalek

Puremonk 31 oktober 2018 16:32

Tijd geleden (aantal weken) was iets vergelijkbaars ook gebeurd bij Avans.
Viel mij toen op dat er een groot aantal mensen (groter dan ik zou verwachten) zich niet heel volwassen konden gedragen.

Clifdon @Puremonk • 31 oktober 2018 21:55

Klopt dat escaleerde behoorlijk uit de hand. Al was het leuke er na een uur wel af en werd het weer rustig.
Avans schijnt dit daarna wel opgelost te hebben. Dergelijke mailings moeten nu door iemand geaccordeerd worden volgens mij.

rc_enzo 31 oktober 2018 16:46

Als voormalig Saxion student komt me dit zeker bekend voor. Een mailtje die per ongeluk aan een hele faculteit tegelijk gestuurd wordt, en vervolgens in een ketting Reply Alls een bende wordt totdat het eindelijk weer eens stil viel.

Het is een vreemde eer om dit te zien verschijnen op de grootste Nederlandse tech-website.

Op dit item kan niet meer gereageerd worden.

Saxion-studenten krijgen ongevraagd duizenden e-mails door interne mailing

Lees meer

IT-banen

Reacties (81)

Sorteer op:

Weergave: