Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Lek in systeem van de UvA maakte inzage in cijfers van 34.000 studenten mogelijk

Twee studenten van de opleiding Security & Network Engineering aan de UvA hebben een datalek in het Student Informatie Systeem van de universiteit ontdekt. Via het inmiddels gedichte lek konden ze de cijfers van alle 34.000 studenten inzien.

Het lek dat de studenten Tiko Huizinga en David Garay in het SIS van de UvA aantroffen, betrof de mogelijkheid om simpelweg de url aan te passen. Als studenten hun cijfers wilden inzien, gaf het cijfer achter CRSE ID in de url aan om welk vak het ging, terwijl het cijfer achter EMPLID het studentnummer betrof. Ze beschrijven hun bevindingen in een verslag.

"Verander het EMPLID naar het studentnummer van een andere student en je ziet zijn naam, de naam van dat vak en zijn cijfer voor hetzelfde vak. Verander vervolgens het CRSE ID naar dat van een ander vak en je ziet het cijfer van deze student voor dat andere vak", schrijven de twee in hun onderzoeksdocument.

De studenten stuitten volgens Tiko Huizinga door puur toeval op het lek. "We waren op zoek naar ons cijfer voor een vak en zagen een studentnummer in de url staan", laat hij aan Tweakers weten. "David viel het op dat er een studentnummer in de url stond. Toen logde ik in en vulde zijn studentnummer in. Vervolgens kreeg ik voor een halve seconde zijn naam, naam van het vak en cijfer te zien, waarna we doorverwezen werden naar een foutmelding."

SIS gaf bij de wijziging een doorverwijzing met de melding dat de persoon geen autorisatie heeft om de pagina te bekijken, maar de gegevens bleven ongeveer een halve seconde zichtbaar. De studenten leidden hieruit af dat de autorisatie clientside plaatsvond en het uitschakelen van JavaScript maakte inderdaad dat er geen doorverwijzing meer plaatsvond en de cijfers zichtbaar bleven. Bovendien was het zo dat er, als het studentnummer niet werd ingevuld, een overzicht van alle studentnummers verscheen en dat er bij het leeg laten van de vakcode een lijst met alle vakcodes zichtbaar werd.

De ontdekkers gaan ervan uit dat de gegevens geautomatiseerd te scrapen waren, omdat het om het simpelweg aanpassen van de url ging. "Dit hebben wij niet geprobeerd omdat we niet verder wilden gaan dan nodig om het lek aan de kaak te stellen. We hebben het alleen handmatig van een aantal medestudenten en verschillende vakken met toestemming van betreffende studenten uitgeprobeerd", aldus Huizinga.

Ze troffen het lek op 6 mei aan en meldden dit een dag later. Nog diezelfde dag kregen ze een bedankje van het Computer Emergency Response Team van de UvA en op 8 mei voerde het team een fix bij SIS door. Ook was de functionaris gegevensbescherming ingelicht. Aanvankelijk was er geen melding gedaan bij de Autoriteit Persoonsgegevens, maar in juni is besloten dit alsnog te doen, omdat een lijst van alle studentnummers op te vragen was. Na analyse van de logs van SIS heeft de UvA geconcludeerd dat er 'geen datadumps uit SIS zijn gehaald waarbij het studentnummer in de url is verwisseld'. De UvA claimt dan ook 'geen enkele aanwijzing te hebben dat er misbruik is gemaakt waarbij gegevens in handen van derden zijn gevallen'.

In 2016 trof student Nelson Berg ook al een lek aan in het Student Information System dat de UvA en de HvA gebruiken. Daarmee kon hij op eenvoudige wijze persoonsgegevens en foto's van meer dan 500.000 medestudenten binnenhalen.

Door Olaf van Miltenburg

Nieuwscoördinator

14-06-2019 • 11:53

53 Linkedin Google+

Submitter: vitess

Reacties (53)

Wijzig sortering
De studenten leidden hieruit af dat de autorisatie clientside plaatsvond en het uitschakelen van JavaScript maakte inderdaad dat er geen doorverwijzing meer plaatsvond en de cijfers zichtbaar bleven. Bovendien was het zo dat er, als het studentnummer niet werd ingevuld, een overzicht van alle studentnummers verscheen en dat er bij het leeg laten van de vakcode een lijst met alle vakcodes zichtbaar werd.
Dit is wel heel knullig. Is dit door een bedrijf gebouwd? Of door het neefje van?

edit. volgens het gelinkte paper is het gebouwd door een bedrijf, dat schermt met termen als "Uw studenteninformatiesysteem in handen van specialisten".

[Reactie gewijzigd door cracking cloud op 14 juni 2019 11:59]

Is gebouwd/geimplementeerd door Atos. Projectkosten lagen in 2012 voor de UvA en HVA samen al op 40 miljoen+.

Meest waardeloze systeem ooit, was altijd onmogelijk om wat te vinden.

Om voor een vak in te schrijven moest je
1. zoeken op vaknummer
2. het 'product' toevoegen aan je winkelwagentje en dat accepteren.
3. Naar je winkelwagentje gaan en alle vakken weer selecteren
4. De selectie doorvoeren
5. Nogmaals de bovenstaande selectie accepteren op een overzichts pagina.

En daarna was het enkel een aanvraag, en moest nog gecontroleerd worden of je wel de benodigde toelatingseisen had (die gegevens stonden 99% van de tijd gewoon in SIS, dus waarom dat niet direct kon).

Bron voor budget: https://www.computable.nl/artikel/nieuws/erp/4604565/250449/hva-en-uva-betalen-zich-blauw-aan-sis.html
Het was na de implementatie inderdaad erg gebruiksonvriendelijk, zeker voor studenten, het ging om een Amerikaans product dat 1 op 1 werd geimplementeerd zonder uberhaupt te kijken naar wat de requirements waren. In Amerika shoppen studenten schijnbaar voor onderwijs, terwijl dat in Nederland niet op deze manier het geval is. Heel raar om daar met je implementatie geen rekening mee te houden, is nu (hopelijk) ondenkbaar.
Ik weet dat ze afgelopen jaren veel eraan hebben gesleuteld om alles mooier en beter te maken en er zijn ook apps.
Wees maar blij dat jij niet de administrator was. Op mijn afdeling moest toentertijd méér personeel worden aangenomen, terwijl anderen met een burn-out op de bank zaten. Het invoeren van cijfers was een regelrechte ramp als docent zijnde. Dit product had simpelweg nooit live mogen gaan...
Grappig dat ik de naam Atos hier tegenkom. Het bedrijf waarvoor ik werk neemt daar ook wat diensten af. Het is 1 grote faalhazerij en vind het nog altijd bizar dat je als miljardenbedrijf je backbone laat beheren door een club die er echt he-le-maal niets van bakt. Iets simpels als email is al een een brug te ver voor Atos en dat overdrijf ik niet.
Veertig miljoen. What the serious fuck. En dan nog niet de zaak op orde. Beter aan studenten overlaten bijna. Sjonge jonge jonge.
Niet zomaar een bedrijf zelfs….
Uit de paper
Het systeem is gebaseerd op Oracle PeopleSoft Campus Solutions. Dit systeem wordt wereldwijd door ruim 750 academische onderwijsinstellingen gebruikt.
Maar wel "gebaseerd op". Kan natuurlijk ook zijn dat de ICT-afdeling zelf heeft zitten knutselen.
Niet heel waarschijnlijk dat ze zelf wat gaan bakken als de beveiliging standaard al op orde was.

Overigens wordt dat pakket in nederland niet zo veel gebruikt: hier is het nederlandse Osiris gangbaarder.
Als het op 2 dagen is opgelost dan zou het mij ten zeerste verbazen dat men helemaal tot bij Oracle is geweest om een patch te laten bouwen.
Een "fix" kan in dit geval ook betekenen dat ze een deel van SIS tijdelijk uit de lucht hebben gehaald.
dat is toch geen "fix" maar een "workaround" of heb ik de termen door elkaar ?
Je fixed dan een lekkage met een workaround, ja
Ahaa, weer wat geleerd. Ik was van mening dat het dan niet gefixd was, omdat het probleem nog steeds bestaat. Alleen omdat men er dan geen last van heeft, dat het dan een workaround werd genoemd.

Thanks voor de "uitleg" !
Yes, graag gedaan.

Ik vergelijk het maar met een lekker buis: dicht plakken werkt wel, maar een nieuwe buis is mogelijk beter
Ja precies, dat is ook een goeie beredenering. Die zal ik zelf ook wel gaan gebruiken. Als beginnend C# programmeur zal ik dit soort discussies wel vaker gaan krijgen waarschijnlijk haha.
Haha ja, goed punt, dat is eigenlijk al het bewijs dat het een lokaal 'knutselwerkje' moet zijn geweest bovenop het standaardpakket.
Misschien niet genoeg thuis in het systeem om de autorisatie-check in te bouwen en voor een quick & dirty fix met javascript gegaan om het zogenaamd veilig te laten lijken.
Als het op 2 dagen is opgelost dan zou het mij ten zeerste verbazen dat men helemaal tot bij Oracle is geweest om een patch te laten bouwen.
Of ze hebben een al klaar liggende patch - iets te laat - geïnstalleerd.
Ik weet dat zowel de HVA/UVA en Inholland gebruikt maken van dit systeem.

Zijn ook niet kleine scholen.
Nu is Osiris ook een jankpakket, maar dat is een andere discussie;)
In mijn ervaring heeft de ICT-afdeling geen verstand van Oracle.
Ik werk bij de TU Eindhoven die ook Oracle gebruikt, maar ik sta om een of andere reden twee keer in het systeem. Gegevens die bij de ene inschrijving staan, staan bij de andere niet en andersom. Als gevolg moest ik regelmatig uitleggen wie ik was en wat mijn functie was, om zo bijvoorbeeld een medewerkerssportabbonement te kunnen krijgen.

Ik heb met vele lagen in de organisatie contact gehad, maar niemand leek te kunnen vinden waar de dubbele registratie zat of hoe ze hem eruit konden krijgen (zonder dat er iets anders zou breken).
Uiteindlijk hebben ze het opgegeven en maar een notitie bij beide accounts toegevoegd, die naar elkaar verwijzen...
Dat is de basis, de implementatie daarvan (mogelijk door een klein lokaal NL bedrijfje) is dus niet netjes gebeurd. Of stellen ze dat het lek standaard aanwezig is in de software?
Dus je schrijft een heel paper over 2 dingen die je kon aanpassen in de url, wow. 😂 Desalniettemin hebben de heren wel netjes gehandeld.
Deze manier van afhandelen is natuurlijk de enige waarop ze het 'onderzoek' kunnen gebruiken om er iets mee te doen dat studiepunten oplevert. Daarnaast is het natuurlijk de enige juiste manier van handelen.
Dit heeft geen studiepunten opgeleverd en was vooral een projectje op basis van eigen interesses van de twee studenten in kwestie. De reden dat er een paper over is geschreven is omdat je er anders niet iets over kan publiceren, terwijl het lek significant genoeg is om er iets over te publiceren.
Het zijn studenten van de opleiding Security & Network Engineering. Daar moet toch wel een keuzevak te vinden zijn waarbij deze paper studiepunten oplevert?
Er zijn inderdaad projecten bij de opleiding waar dit zou kunnen. Maar Tiko en David zijn er toevallig op gestuit en hebben hier verder geen studiepunten oid voor gekregen.

Bron: Nycrea en ik zijn klasgenoten van Tiko en David :)
Mooi dat het gevonden is, maar dit klinkt wel heel knullig. Eerst de data doorsturen en dan pas checken of dat uberhaupt mocht 8)7
Volgens mij een typische werkwijze in een SharePoint CSWP (Content Search WebPart). Aangezien je aan de template kant daar enkel JS tot je beschikking hebt als programmeertaal. Heb dit al vaker gezien in SP omgevingen.
Er zijn andere/betere werkwijzen om voor SP te programmeren, maar dat vergt ook aanzienlijk meer kennis van SP en vaak ook een boel meer rechten, o.a. om dingen uit te rollen.

[Reactie gewijzigd door jozuf op 14 juni 2019 12:12]

Pay peanuts, get monkeys! :+
Dit is dan ook zo ongeveer de knulligste fout die je kunt maken met een website, nog knulliger dan SQL injection.
Inderdaad. Als je door URL aanpassingen gebruikers bij delen laat waar ze niet bij mogen is dat zeer zorgelijk. Maar dan heb je dus goed door dat dit niet de bedoeling is, en dan los je het op deze manier op. Veel amateuristischer moet het niet worden. En dat voor zo'n grote club.

Het is te bizar voor woorden dat dit soort dingen nog steeds gebeuren. Ondertussen mag je toch verwachten dat dit algemeen bekend is. Daarnaast zijn er nog diverse tools en checklists (zoals OWASP) die je er tegenaan kunt gooien.

En uiteindelijk hadden de pen-testers of auditers dit ook wel mogen vinden. Maar ik ben bang dat die cruciale stappen uit het oogpunt van kosten/gemak maar even zijn overgeslagen. De teller stond immers al op 40 miljoen..... Hoe dan!?!?!
Erg knullig natuurlijk. Maar voor zover het datalekken aangaat wel een van de meest onschuldige categorie.
Ik hoop alleen dat ze ook de andere systemen langsgegaan zijn om te kijken of andere gegevens niet op dezelfde manier in te zien zijn.
onschuldig? dit is PII, denk dat ze op de uni blij mogen zijn als ze geen boete krijgen....
FF serieus, een system waarbij unieke ID's in de URL staan (inclusief een benaming die vrij duidelijk is), waarbij autorisatie client-side plaats vind?
Knap dat het lek zo lang verborgen is gebleven…. Dit is zo ongeveer het eerste dat je als scriptkiddie gaat proberen, javascript uitschakelen en het aanpassen van ID's om zo te zien of je meer informatie kan ophalen dan waar je eigenlijk toegang tot hebt.
Als dat niet werkt, ga je misschien eens kijken naar een SQL injectie.
Het is inderdaad heel knullig dat het client-side is.
Dat er een nummer in de url staat nog aan toe, maar voor iedere non-docent/non-admin zou een ander nummer dan jezelf oproepen moeten resulteren in een 403 forbidden
De studenten leidden hieruit af dat de autorisatie clientside plaatsvond en het uitschakelen van JavaScript maakte inderdaad dat er geen doorverwijzing meer plaatsvond en de cijfers zichtbaar bleven.
Tja... Ik heb mij dit jaar voorgenomen om wat positiever in het leven te staan maar dit maakt het niet makkelijker.
dus geen authtokens voor het opvragen van wepagina's..
alleen clientside controle?

jongens, hoe kan dit?
hanlon's razor zegt mij dit aan een fout te weiden, maar dit is websecurity 101..
Zo te zien wordt het dus beheert door Sans:
https://sans-ec.nl/
Die dat ook nog voor uni Leiden doet.

SaNS is de samenwerking van de Hogeschool Amsterdam, de Universiteit van Amsterdam en de Universiteit Leiden rond hun studenteninformatiesysteem (SIS). SaNS heeft het beheer en de doorontwikkeling van het SIS ondergebracht bij het SaNS Expertisecentrum. Die samenwerking zorgt voor kostenbesparing en vergemakkelijkt kennisdeling.

Oracle wordt hier ieder keer aangehaald, maar volgens mij is dit het oude Peoplesoft studenteninformatiesysteem, wat door Oracle is overgenomen. De database zal dan wel Oracle zijn, de rest van Peoplesoft.

Hier draait Osiris voor de Studenten, de database daarvan is ook is Oracle.
Het lijkt mij alleen maar goed dat een 'simpele' hack, maar wel met gevolgen voor tienduizenden mensen, uitgebreid beschreven wordt in een paper. Voor zover ik weet was dit geen afstudeeropdracht (of überhaupt een opdracht), maar alleen een bij toeval gevonden lek.

Zie ook andere hacks die gevonden zijn door deze opleiding zoals bijvoorbeeld de hack van iemands Digital identiy (bron: https://www.os3.nl/_media...ot-report-digidentity.pdf)

De opleiding Security en Network Engineering is één van de best beoordeelde masters van Nederland (zie https://www.os3.nl/).
SNE'er hier, kan ik bevestigen. Top opleiding, geen moment spijt van gehad.

Het artikel ziet er wellicht uit als een paper omdat studenten vrijwel al hun werk maken in LaTeX. Wil natuurlijk niet zeggen dat dit ook een paper is. Zoals ook staat aangegeven kwam dit lek per toeval voorbij.
Wie zegt dat dit een wetenschappelijk onderzoek betreft? Het gaat hier om een responsible disclosure.
Dat Tweakers.net, nu.nl, security.nl, etc. dit klakkeloos overneemt is inderdaad "niet zo handig". Maar waar wordt er door de twee studenten beweerd dat het een "wetenschappelijk artikel", dan wel "universitaire paper" betreft?

Overigens kun je hier je Feedback geven op een artikel; Geachte Redactie
Nergens. Het artikel vermeldt echter dat om een paper gaat van studenten van de UvA. Dat staat synoniem met de eisen die er aan een universitair paper gesteld worden in termen van wetenschappelijke standaarden, reviews, etc.

Aan de minnen te zien zijn anderen het daar niet mee eens. Dat mag.
Maar ik vind dat suggereren dat dit om een paper van studenten de UvA gaat niet handig is. Het gaat gewoon om een gepubliceerd opstel; en daar is niets mis mee. Hulde.
Maar nogmaals; suggereren dat het een paper van studenten van de UvA betreft is overdreven.

[Reactie gewijzigd door Zynth op 14 juni 2019 14:22]

Wat een geneuzel, ik heb tijdens mijn studie zo vaak papers moeten schrijven. Het niveau daarvan is natuurlijk niet te vergelijken met ge-peer-reviewde wetenschappelijke publicaties van ervaren PhD's... Dat lijkt me alsnog iets totaal anders dan een opstel. Lijkt me een mooie oefeningen voor studenten (dat zijn immers academici in opleiding).

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Sport

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True