Hogeschool Inholland is gehackt en data tienduizenden studenten wordt aangeboden

Persoonsgegevens van mogelijk 56.000 studenten met een Inholland Moodle-account worden op een forum aangeboden. Het gaat om data die vorige maand is buitgemaakt bij een hack, schrijft de Volkskrant.

Volgens de Volkskrant gaat het om een dataset met 56.000 rijen aan gegevens, die mogelijk toebehoren aan evenzoveel verschillende personen. De dataset wordt aangeboden op een forum. De Hogeschool Inholland bevestigt hiervan op de hoogte te zijn en heeft studenten en de Autoriteit Persoonsgegevens ingelicht. In een e-mail aan studenten schrijft InHolland nog te onderzoeken wat er precies aan de hand is. Studenten worden opgeroepen om waakzaam te zijn voor phishingpogingen.

De data bevat mailadressen, woonadressen, telefoonnummers en versleutelde wachtwoorden. Hoe de wachtwoorden zijn versleuteld, is niet bekend. Volgens de Volkskrant verschilt het per persoon welke data er uitgelekt is. Hoe de data precies is buitgemaakt, is ook nog niet duidelijk.

Vorige maand waren ook de Hogeschool van Amsterdam en Universiteit van Amsterdam slachtoffer van een cyberaanval, waarbij persoonsgegevens en versleutelde wachtwoorden werden buitgemaakt. De criminelen waren daarbij volgens de instellingen uit op financieel gewin.

Update, 22:00: Inholland meldt dat er in de dataset 791 versleutelde wachtwoorden zitten van Moodle-accounts 'van externen'. Die mensen worden persoonlijk ingelicht. De onderwijsinstelling vraagt alle studenten voor de zekerheid hun wachtwoord te veranderen. Ook heeft Open Edu, de leverancier van Moodle, een 'specifieke module dichtgezet' om de export van gegevens te bemoeilijken.

Door Julian Huijbregts

Nieuwsredacteur

01-03-2021 • 17:32

134 Linkedin

Submitter: wilkieway

Reacties (134)

Wijzig sortering
Update mail vanuit Inholland richting studenten:

Beste student,

Zoals eerder vandaag beloofd komen we bij je terug met betrekking tot illegaal verkregen data. Het blijkt te gaan om een bestand met 56.000 sets met persoonsgegevens van mensen met een Inholland Moodle-account die online te koop worden aangeboden. We weten nu dat er via deze datasets 791 versleutelde wachtwoorden zijn verkregen, het gaat hierbij om Moodle-accounts van externen. De externe personen om wie het gaat informeren wij persoonlijk.

Maatregelen
Inmiddels hebben wij maatregelen genomen om de gevolgen van deze situatie te beperken. Open Edu, de leverancier van Moodle, heeft een specifieke module dichtgezet om de illegale export van gegevens te bemoeilijken.
Ondertussen is een forensisch onderzoek van start gegaan om te achterhalen wat de oorzaak is, wie er verantwoordelijk is en hoe we dit soort situaties in de toekomst kunnen voorkomen.
Verder leiden we al het dataverkeer naar Moodle om via het Inholland-netwerk en installeren zo snel mogelijk een dubbele login. Eenmaal ingelogd bij Inholland moet je dan dus voortaan nogmaals een keer inloggen bij Moodle.
Verder vragen we je voor de zekerheid om je wachtwoord te wijzigen.

Meer informatie
Heb je naar aanleiding van deze informatie nog vragen? Vanaf morgen in de loop van de ochtend vind je meer informatie via Weten & Regelen op Iris. Mocht er nieuwe informatie beschikbaar komen, dan informeren we je via de mail.

Met vriendelijke groet,

***************

College van Bestuur, Hogeschool Inholland

[Reactie gewijzigd door DennisDCT op 1 maart 2021 20:56]

Dus alleen hun moodle is gehackt.

Daarom gebruik je normaal gezien ook een losse Identity Provider. Zoals Okta, MS Azure AD enz. Daardoor heeft elke web app geen zicht op de paswoorden en behoud je je gevoelige data op slechts 1 applicatie die bovendien hard geaudit wordt dan elke mogelijke webapp die je in hun omgeving hebt.

Bijkomende voordeeltjes zijn nog SSO en makkelijke ondersteuning van nieuwe authenticatie middelen (denk aan Fido2) op centraal niveau zonder elke app aan te hoeven passen.

[Reactie gewijzigd door GekkePrutser op 1 maart 2021 21:39]

Mwa. Even afgezien van dat een losse identity provider nauwelijks verbetering oplevert bij een situatie als deze (je gehashte wachtwoord is toch echt minder waard dan je persoonsgegevens, en die staan allemaal nog in de applicatie), vallen er ook nogal wat vraagtekens te plaatsen bij de diverse hosted identity providers en hun competentie op security-gebied.

Hoewel iets als AD accountbeheer wel makkelijker kan maken, zou ik het zeker niet beschouwen als beveiligingsmechanisme. Daar doet het simpelweg te weinig voor.
Je hoeft ten eerste geen cloud IDP te gebruiken. Kan je ook zelf hosten. Ook kan je dan voorkomen dat je veel persoonsdata in de database van elke applicatie hebt. Bijvoorbeeld dingen als een email adres: Is vaak vooral nodig voor paswoord reset en dat heb je dan niet meer in elke applicatie apart.

Maar op zijn minst heb je je authenticatie dan nog maar op 1 punt. Dus 1 punt van kwetsbaarheid. In plaats van een boel apps. Op die manier heb je ook maar 1 app te bewaken op vreemde zaken zoals een heleboel toegangs aanvragen opeens.

En waarom zou Moodle belangrijke persoonsgegevens moeten weten behalve naam en studentnummer/accountnaam? Dingen als adres/woonplaats, sofi nummer, email horen daar sowieso niet thuis. Maar alleen in de studenten administratie.

Overigens vind ik AD als backend ook niet handig hoor. Liever iets moderners (in de Windows wereld bijvoorbeeld AAD) en dan goed de rechten dichtgetimmerd.

[Reactie gewijzigd door GekkePrutser op 3 maart 2021 01:46]

"en installeren zo snel mogelijk een dubbele login."
Dus ze gaan SSO uitzetten..?
(Crisis)communicatie is zo makkelijk nog niet. ;-)

Ik ga er vanuit dat de Moodle omgeving voor Inholland enkel via een eigen reverse proxy benaderbaar wordt. Dan moet er eerst d.m.v. een Active Directory account worden ingelogd op de proxy.
Zelf de mail ontvangen van het bestuur. Luidt als volgt:
We hebben zojuist vernomen dat er illegaal verkregen data met persoonsgegevens te koop worden aangeboden van mensen met een Inholland Moodle-account. Op dit moment onderzoeken we wat er precies aan de hand is. We komen daar zo spoedig mogelijk bij je op terug.

Op dit moment hoef jij niets te doen. Wees wel alert op zaken die je niet vertrouwt. Blijf waakzaam op e-mail waarin je wordt gevraagd om gegevens in te vullen, betalingen te doen en daarbij op linkjes te klikken en bijlages te openen
.
Bijzonder advies; ik zou sterk aanraden om per direct wachtwoorden te wijzigen. En dan eigenlijk overal waar je het wachtwoord gebruikt hebt aangezien de versleutelde wachtwoorden ook buit gemaakt zijn.

(Ja je hoort overal een ander wachtwoord te gebruiken en wachtwoordmanager met complex wachtwoord, maar de praktijk is toch echt anders).

[Reactie gewijzigd door Chnub op 1 maart 2021 18:01]

Wat raar is, is dat wanneer je wilt inloggen op een Inholland services zoals moodle of ander wordt je altijd omgeleid via een website van Microsoft office 365. Dit betekent dus dat al deze wachtwoorden apart weer op een server buiten Microsoft te vinden zijn.
Betekend dat niet juist dat Microsoft de SSO is en de wachtwoorden juist NIET er buiten worden opgeslagen?
Bij SSO spreek je van de Identity Provider (IdP) en Service Provider (SP). Ik ben verre van expert, maar het lijkt me niet dat hier het MS account primair is, dus MS is dan de SP en InHolland/Moodle de IdP.
Dan slaat MS dus geen wachtwoorden op.
Microsoft kan alle kanten op. Je mag het in principe dus zelf bepalen.
Zie als voorbeeld:
Jij bent IdP:
https://docs.microsoft.co...hybrid/how-to-connect-pta
MS is IdP:
https://docs.microsoft.co...rectory/hybrid/whatis-phs
Jij bent IdP en SP (voor het authenticatie deel):
https://docs.microsoft.co...rectory/hybrid/whatis-fed
De Moodle SaaS lijkt me hier duidelijk de SP en de MS service dan de IdP (met de ww's, nouja hun eigen AD wrs).

[Reactie gewijzigd door Ernie_W op 1 maart 2021 22:11]

Zeer waarschijnlijk verwijst Office 365 weer door naar hun eigen ADFS omgeving zodat SSO verder kan worden afgehandeld. Dat is een vrij normale opzet binnen onderwijs instellingen.
Verder kan Office 365 ook direct de wachtwoorden valideren via een agent op de interne authenticatie servers (domain controllers).

Er kan dus moeilijk worden bepaald waar de uiteindelijke authenticatie plaats vindt.

Dat gezegd, dit is waarschijnlijk een intranet of aparte webserver opzet. Zeer waarschijnlijk houd die een cache/back-up bij of misschien synchroniseert deze de gebruikers en wachtwoorden. Ik denk niet dat de 'hackers' via ADFS of SSO binnen zijn gekomen.
Verder leiden we al het dataverkeer naar Moodle om via het Inholland-netwerk en installeren zo snel mogelijk een dubbele login. Eenmaal ingelogd bij Inholland moet je dan dus voortaan nogmaals een keer inloggen bij Moodle.

Verder vragen we je voor de zekerheid om je wachtwoord te wijzigen.
In mailtje van het bestuur staat dit over het inloggen.
Mmmhhh, lastig om alsnog een inschatting te maken. Uitspraken als 'installeren zo snel mogelijk een dubbele login' geven enkel weer dat er iemand aan het woord is die geen inhoudelijk verstand heeft van deze zaken (standaard bij woordvoerders) :)

Ik denk dat ze weten dat 'Moodle' gehacked is en die wordt dus nu afgesloten / afgescheiden van het overige netwerk. Dit zou als effect hebben dat je nogmaals moet inloggen (geen SSO meer).
Bij Inholland moet je elke 3 maanden een nieuw wachtwoord aanmaken dus dat je dit wachtwoord bij andere diensten gebruikt lijkt mij sterk
Als je elke 3 maanden je ww moet veranderen betekent dat je waarschijnlijk `ZwakWachtwoord-Maand!` oid gebruikt. Het gros van de mensen doet dit. Vanaf daar is het simpel zat alle variaties te proberen. Vaak moeten wisselen betekent dat mensen een gemaks wachtwoord kiezen
Of anders een variant van een wachtwoord van elders, waardoor het alsnog makkelijk te raden is. Bijv. op andere sites 'HalloDitIsMijnWachtwoord' en bij inHolland elke 3 maanden een variatie daarvan, zoals 'HalloIsDitMijnWachtwoord' en 'HalloWachtwoordDitIsMijn'.
Ik verander elke keer het laatste cijfer...

[Reactie gewijzigd door Tim Lamein op 1 maart 2021 20:29]

Een beetje passwordpolicy staat dat natuurlijk niet toe..
Je staat je er versteld van hoe je soms om die policies heen kan komen, bij Hanze net zo, ik ken genoeg medestudenten die op een of andere manier de "je nieuwe en oude ww's lijken teveel op elkaar!" weten te omzijlen door vaak simpelweg een extra karakter er aan toe te voegen

Edit: soms flagged ie em wel, en soms laat ie em vrolijk door

[Reactie gewijzigd door IHVD op 2 maart 2021 09:12]

Make a system foolproof and only a fool will use it.

Natuurlijk zullen er tussendoor glippen. En dat valt lastig te controleren omdat je wachtwoord als het goed is versleuteld wordt opgeslagen en je als systeembeheerder dus niet even een dubbelcheck kan doen bij recent gewijzigde wachtwoorden. Tenzij je de versleutelde wachtwoorden met elkaar kunt vergelijken, maar daar snap ik te weinig van om er iets zinnigs over te zeggen.
Die is er dan ook niet.
Verder voldoet mijn ww wel aan klein + hoofdletter + cijfer +speciaalteken + 8+ tekens (en geen woorden/referenties)
Naja in mijn geval was dit positief. Werd zo gek van elke 3 maanden weer een wachtwoord bedenken dat ik maar een password manager ben gaan gebruiken en nu ben ik helemaal om!
Hahaha, hoe vaak ik die Welkom01 wel niet op scholen tegenkom.
Is dat omdat studenten dol zijn op schoolvoorbeelden?
Om de 3 maanden? Dan is het toch gewoon Zomer2021? Voldoet aan complexity en toch vaak min 8 karakters. Dat wachtwoord welke jij schetst is veel te geavanceerd!
Waarschijnlijk gesynchroniseerd met de lokale AD.
Ik zie juist https://idp.inholland.nl/adfs, dus een on-prem ADFS server die de authenticatie afhandeld. Moodle zelf krijgt voor de authenticatie dus alleen maar een token te zien met wie jij bent en dat Inholland je identiteit heeft kunnen vaststellen en niet je wachtwoord.

[Reactie gewijzigd door me2001 op 1 maart 2021 19:24]

Het lijkt me verstandiger om eerst de oorzaak vak het lek te vinden en dan pas gebruikers forceren hun wachtwoord te wijzigen. Anders ga je mogelijk dwijlen met de kraan open.
Nou nee.

Ik heb en bestand met 56k versleutelde wachtwoorden en login's ik heb nog wel een paar uurtjes nodig om die wachtwoorden te kraken er van uitgaande dat de versleuteling niet een XOR operatie is of zo.
De kans dat ik als ik klaar ben met het ontsleutelen van deze wachtwoorden meteen even ga kijken of iemand al zijn wachtwoord heeft aangepast en dan weer dat nieuwe wachtwoord ga ontsleutelen is vrij klein.
Tenzij het een lek is waarbij de persoon nog steeds toegang heeft tot het systeem en daar ook gebruik van blijft maken terwijl overduidelijk is dat men door heeft dat er iemand in het systeem rond neust die daar niet hoort is extreem klein (dat zou heel erg dom zijn)

Om die reden is elke keer als blijkt dat je eventueel bij een hack betrokken bent gelijk even je wachtwoorden aanpassen helemaal niet zo'n slecht idee. Sterker nog het is zeer verstandig, in het ergste geval helpt het niets omdat de incompetente beheerders van het systeem waar deze gegevens gestolen zijn de indringer nog steeds niet hebben buitengesloten. In eigenlijk alle andere mogelijke gevallen maakt het het overnemen van jouw account een stuk minder waarschijnlijk.
Hangt er nogal vanaf. Volgens mij word er gewoon single sign on gebruikt. Dus moodle heeft helemaal het wachtwoord niet.
Dat ligt eraan. Ze zijn gehacked. Misschien zit de indringer nog binnen en dan heeft juist het wachtwoord wijzigen een schijnveiligheid werking. Jij denk ik heb hem veranderd dus ben veilig. Ondertussen ziet de hacker waarin je hem veranderd hebt. Tot zover je veiligheid.
Ik neem an dat ze surfconnext hebben voor authenticatie, in Moodle zelf zullen geen wachtwoorden zijn opgeslagen op een paar obscure lokale accounts voor externe gesproken, als dat al überhaupt is toegestaan.
Het gebruik van een passwordmanager bij een school of universiteit is in de praktijk wel lastiger. Als je vanaf je eigen pc of telefoon wilt inloggen is het geen probleem. Maar als je fysiek op de school of universiteit aanwezig bent en je wil inloggen op een publieke computer dan kan je niet zomaar gebruik maken van je password manager. En elke keer je complexe wachtwoord opzoeken op je telefoon en overtypen is natuurlijk ook niet handig.

Daarbij komt dat je volgens mij op inHolland elke drie maanden verplicht je wachtwoord moet veranderen, anders kan je niet meer inloggen. Dat betekent dus dat iemand over zijn studieperiode van 4 jaar, maar liefst 16 verschillende wachtwoorden mag verzinnen. Oude wachtwoorden hergebruiken mag niet.
Ik durf er van uit te gaan dat 99% van de gebruikers dan ook echt niet elke keer een compleet nieuw wachtwoord verzinnen. Maar gewoon iets achter hun oude wachtwoord plaatsen. Bijvoorbeeld telkens een nieuw cijfer (wachtwoord1, wachtwoord2 etc.) of een leesteken (wachtwoord!, wachtwoord!! etc.)
Inputstick.com heeft een USB stick die een toetsenbord na doet. Prik die in de inHolland PC, en "typ" vanaf je telefoon je wachtwoord in. 128 karakters? Geen probleem.
Deze bedoel je: http://inputstick.com/ ?

Ze gebruiken een TLS certificaat dat is uitgegeven voor www.example.com 8)7

Dat wekt niet bepaald een goed gevoel op.. En in een andere browser krijg ik een http site voorgeschoteld (ik gebruik SSL Everywhere in Firefox)
Lijkt me niet echt een optie voor tijdens een tentamen in een tentamenzaal :+
Kan je wel je wachtwoord veranderen maar even van huis wisselen is al lastiger. De gegevens liggen alweer op straat en Inholland moet nog even kijken wat er aan de hand is |:(
Oplossing: straatnaambordjes met versleutelde straatnamen, dan kunnen ze het niet vinden.
Het eerste wat ik zou doen is het wachtwoord aanpassen, op alle sites waar je deze hebt gebruikt. En dus niet wachten, zoals het bericht aangeeft.

[Reactie gewijzigd door Wildfire op 1 maart 2021 17:52]

ah, dus er is ook "legaal" verkregen data met persoonsgegevens die te koop worden..
althans, zo lijkt het nu wel..
Een grof schandaal dat de beveiliging bij scholen blijkbaar niet goed genoeg is. Laatst bij mijn school ook al, al lijkt de schade gelukkig beperkt. Maastricht een paar maanden geleden had ook een hack. Het zijn wel instellingen waar je vanuit moet kunnen gaan dat die dit op orde hebben, maar helaas. Dit zeg ik wel als leek overigens.
Als je eens wist hoe slecht de meeste school software is geschreven, om vervolgens gedwongen geïmplementeerd te worden (want onderwijs heeft het echt nodig, ja echt waar!) om er vervolgens achter te komen dat het pakket zo lek is als een mandje... dan had je deze reactie niet gegeven ;)

Punt is dat scholen enorm veel applicaties moeten draaien, die allemaal aan elkaar geknoopt moeten worden, security be damned. Tel daarbij op dat de meeste scholen niet genoeg personeel hebben om alles netjes te onderhouden/patchen , laat staan om preventief iets aan security te doen, en het is whten op de volgende hack.
Dat is geen grof schandaal, het is volledig te begrijpen. Alleen de allergrootste organisaties hebben tegenwoordig nog het geld en de mogelijkheden die nodig zijn om je te beveiligen tegen goed gefinancierde (staats-)hackers. Alle anderen, van klein tot groot, zijn domweg kansloos als ze het doelwit worden van een gerichte aanval. Simpelweg gebrek aan geld, kennis en mogelijkheden.
En dat is zorgelijk. Nu zijn het hackers die op losgeld uit zijn, maar in het geval van een bijvoorbeeld een oorlog ben ik er van overtuigd dat minimaal de helft van alles wat in Nederland aan het internet gekoppeld is, binnen een dag platgelegd kan worden.
Dat is het lastige bij onderwijs: je hebt een zak geld en daar kun je dingen mee doen. Het leeuwendeel in ICT-veiligheid stoppen bijvoorbeeld. Maar daar ga je ook vragen over krijgen. Wel begreep ik dat een bank procentueel (aantal werknemers) uitgeeft aan veiligheid dan een hogeschool. Wat ook niet heel onredelijk is denk ik.
Een grof schandaal dat de beveiliging bij scholen blijkbaar niet goed genoeg is.
Mijn vermoeden is dat het er bij de meeste scholen slecht voor staat, maar niet zo heel veel slechter als op de meeste andere plekken. Volgens mij is het grootste verschil dat onderwijsinstellingen van huis uit heel open en eerlijk zijn. Informatie delen is een kernwaarde, geheimhouding niet.

Voor zover ik het kan overzien wordt er overal stevig op los gehacked maar geeft het onderwijs als enige openheid. Veel dank daarvoor aan de Universiteit van Maastricht die het goede voorbeeld hebben gegeven.

Maar scholen en universiteiten zijn ook wel lastig terrein. Onderwijs en wetenschap houden niet van muren, kunstmatige grenzen en dichtgetimmerde computers. Die willen de hele wereld verkennen en alles kunnen proberen. En ze zitten vol met jonge en slimme mensen die ontzettend veel software gebruiken en/of zelf schrijven.

Toch ben ik bang dat het onderwijs, de zorg en andere (semi)overheid vaak onterecht in de schijnwerpers staan omdat zij wel eerlijk zijn over wat er aan de hand is. Bedrijven zullen veel eerder geneigd zijn om het losgeld te betalen en de zaak te verzwijgen om niet negatief in het nieuws te komen.
Wat is Moodle precies?
Een omgeving die scholen kunnen faciliteren aan hun leerlingen waarop bijv. presentaties, opdrachten en andere documenten geplaatst kunnen worden. Daarnaast kunnen leerlingen via Moodle een portfolio bijhouden, opdrachten inleveren, contactgegevens van docenten/studenten inzien etc.

Kortom. Een digitale omgeving waarin communicatie plaats kan vinden en leermaterialen kunnen worden aangeboden.

[Reactie gewijzigd door robcoenen op 1 maart 2021 17:40]

Belangrijke sleutelwoorden die nog ontbreken: ELO (Elektronische Leeromgeving), Open Source.

Veel bugs staan in de publieke bugtracker dus dit is zo'n pakket die je wel uptodate moet houden. Ik ben benieuwd of InHolland dat ook netjes heeft gedaan. Script kiddies scannen vaak naar niet bijgewerkte installaties om oude bugs te misbruiken.
Geen idee waarom je een min krijgt maar het is wel een goede vraag, als je niet in die sector zit kan je het niet weten.
Ik heb het even opgezocht en Moodle is een online onderwijs programma dat gebruikt wordt voor online lessen en andere online onderwijs tools zoals indienen van taken, een online agenda, enzovoort.

[Reactie gewijzigd door AppleFan2007 op 1 maart 2021 17:43]

Waarschijnlijk omdat het letterlijk minder werk is om "Moodle" in een zoekmachine te typen dan om dat hier te vragen.
Voor 1 persoon is dat inderdaad minder werk, voor 100 personen is dat het al niet meer. Het hier vragen dient meerdere doelen.
1. Te weten komen wat het is, zowel voor degene die het vraagt als voor de mensen die het willen weten.
2. Redactie laten weten dat er basis informatie uit het artikel mist.
Maar als 100 personen dit in Google drukken, krijgt het project tractie, en meer aandacht.

Misschien dat de algoritmes van Google dan nog wat goeds voortbrengen ;)
Moodle is opensourcesoftware voor elektronische leeromgevingen. Het wordt gebruikt door ongeveer 60.000.000 gebruikers in ongeveer 65.000 scholen in 216 landen.

(via google)
Wel bijzonder. Voor zover ik weet zijn er maar 196 landen.
Laten we de onenigheid of erkenning van landen buiten beschouwing, dan komen we op een totaal uit van 235 landen. De gehele lijst met alle landen ter wereld gesorteerd op populatie / het aantal inwoners, is hieronder te zien.

https://www.wereldreizige..._235_landen_van_de_wereld
LoL
Scroll ik door de lijst, kom ik op plaats 162 "Bijeenkomst" tegen. Duidelijk dat de .NL website géén moeite heeft gedaan om de Nederlandse vertaling eens goed na te kijken -> duurde even voordat ik doorhad dat het om Réunion gaat...
Scherp opgemerkt, en tevens aangepast / geüpdatet. We hebben er overigens wel veel moeite in gestoken, maar soms zie je iets over het hoofd. Kan gebeuren toch?

Mvg,

Wereldreizigers.nl
Ter aanvulling, je kunt moodle zelf hosten. Die 60.000.000 gebruikers zitten dus niet bij één en dezelfde dienst.
Het is een DLO, een digitale leeromgeving. Je kunt het vergelijken met Blackboard. Echter Moodle is gratis qua softwarepakket.
Wel jammer dat je vervolgens externen moet inhuren om de zooi in te richten en draaiend te houden :)
Wel jammer dat je vervolgens externen moet inhuren om de zooi in te richten en draaiend te houden :)
Het inhuren van externe krachten is geen vereiste, maar vaak iets wat afkomstig omdat organisaties (onderwijsinstellingen) een heel stuk van het IT landschap outsourcen.

Een vacature vinden met kennis van (bijvoorbeeld) Linux, nginx, PHP en PostgreSQL (al dan niet in een clustertje) lijkt mij niet zo lastig.
Moodle wordt naar mijn weten gebruikt voor online lesmateriaal.
Zo heet hun "Learning Management System"
Waarom heeft Moodle woonadressen en telefoonnummers nodig?
Die vraag is niet zo relevant lijkt me. Het probleem is dat de omgeving van Inholland lek was. Het was niet minder erg geweest als er geen woonadressen in hadden gestaan.
De vraag is denk ik wel relevant, omdat je wettelijk gezien voor zover ik weet alleen informatie mag vragen en opslaan die je nodig hebt. Moodle is een digitale leeromgeving die zich beperkt tot digitaal contact met studenten. In Moodle zou je dus niets hebben aan dergelijke gegevens tenzij je het inderdaad gebruikt om informatie over studenten op te zoeken. De vraag is of een LMS daarvoor bedoeld is.

Die contactgegevens zouden eventueel wel in andere systemen kunnen staan, zoals een office365/outlook omgeving die er wel op gericht is om contactinformatie te geven aan de medewerkers.

Ik vraag me ook af waarom er wachtwoorden in de gelekte dataset zouden staan, omdat ik zou verwachten dat een school een SSO (single sign-on) oplossing heeft en de authenticatie dan via een ander systeem verloopt dan Moodle.
Voor sommige diensten als surfit of je e-mail misschien? Ik kan het verkeerde hebben maar bij mij werken sso oplossingen alleen als ik op het netwerk zit en niet thuis tenzij ik natuurlijk de VPN gebruik wat ik nooit doe
En dan weet ik dat moodle zelf een aantal hele mooie SSO/integratie oplossingen heeft.
oAuth2.0 zit er bijvoorbeeld standaard in, maar er is ook een Office365 plugin waarmee je inderdaad met je O365 credentials kan inloggen, maar die ook een koppeling met teams kan maken (zodat je dus voor iedere cursus/les/training een team krijgt).
Feit is dat er door enorm veel instanties data wordt verzameld die helemaal niet nuttig is. Ik zeg niet dat dat hier ook het geval is, maar dat maakt de vraag niet minder relevant. Een probleem is in dit geval dat de beveiliging ontoereikend was om dit te voorkomen, maar een ander probleem kan wel degelijk zijn dat er daardoor meer info op straat komt te liggen dan nodig was.
Je zou tegenwoordig data moeten verwerken met de aanname dat je waarschijnlijk ooit wel slachtoffer wordt van een datalek.
Omdat het best handig kan zijn om je studenten te kunnen bereiken......
Handig is niet perse een geldige reden.
Maar dat staat dan toch in het studenten register, en niet in de software van de digitale leeromgeving?
Dit vroeg ik mij ook direct af.
Waarschijnlijk omdat het handig is. :X
Ik krijg mijn boeken en post etc allemaal via een dergelijk systeem. Beetje hetzelfde als het HR systeem van jouw baas.
Hmm.. heeft het er hier schijn van dat men dit geprobeerd heeft te verbergen en nu het nieuws openbaar is, nog even snel toegeven? Ik weet niet hoe ik het moet lezen, maar je bent toch wettelijk verplicht om het zo snel mogelijk bij de instanties te melden als je weet dat je gehackt bent en er gegevens zijn buitgemaakt?
72 uur melding bij de AP. Maar op dit moment lees ik hetzelfde als u, dat nu pas AP en de studenten zijn ingelicht.
Yep, als je het weet. Zondag zijn de gegevens aangeboden en Maandag heeft men iedereen ingelicht. Nergens blijkt dat men het al eerder wist. Zou er dus geen conclusies aan willen verbinden.
Misschien wisten ze het niet?
Ja bij instanties en de mensen betrokken zijn.

Tweakers en nu.nl horen niet bij die instanties...
Ja klopt, maar zondag stond het op het forum en maandag zijn mensen geïnformeerd. Met andere woorden, binnen een dag wist men te bevestigen dat die hack inderdaad heeft plaatsgevonden. In theorie mogelijk, maar de meeste hacks resulteren in een vorm van chantage en zo'n forum is pas stap twee.

Ik vraag me af of het een sluitend verhaal is. Neemt niet weg, het kan wel.
Er lijkt niets te zijn geschreven waarom het de schijn kan hebben, dus waarop baseer je dan je vraag?

Als gegevens lekken wil dat helaas niet betekenen dat de verwerker dat weet. Ten eerste omdat de verwerker lang niet altijd voldoende beveiliging heeft om te herkennen wie toegang heeft. En ten tweede omdat een lek niet hoeft te betekenen dat het bij de verwerker zelf is misgegaan, maar bijvoorbeeld bij een leverancier of bij heel veel klanten.
Ik begrijp nog steeds niet waarom er nog steeds webshops, hogescholen enz zijn die wachtwoorden (encrypted) opslaan. Ik kan me hier nog steeds over verbazen.

Maar als ik zie wat er allemaal rondloopt in software ontwikkel land dan zou het me eigenlijk niet moeten verbazen. Software ontwikkelen wordt door sommigen nog steeds als een soort hobby gezien en ze doen maar wat...zucht.
Wat is er mis met encrypted wachtwoorden opslaan? (mits uiteraard met een degelijk encryptie algoritme..)
Dat er werkelijk geen enkele reden is om het wachtwoord op te slaan, of het nou encrypted is of niet. Kan jij wel een reden bedenken?

Edit: ik kan het proberen uit te leggen, maar een simpele zoek opdracht levert al een hele duidelijke uitleg waarom je wachtwoorden niet (encrypted) wil opslaan. Hopelijk is het verhaal duidelijk, ik zou het zelf niet beter kunnen uitleggen ;)

[Reactie gewijzigd door david-v op 1 maart 2021 21:16]

Let wel, ook wachtwoorden die met een password hash zijn opgeslagen kunnen worden geraden als het wachtwoord slap genoeg is. Een salt en iteration count / work factor vertragen wel, maar tot een echt veilig aantal bits security kom je niet (een normaal wachtwoord is ~42 bits).

Merk op dat je bron iteration count / work factor en password hashes niet eens noemt, en dus zelf niet snapt waar ze het over hebben.
Het artikel waar ik naar verwees was meer om uitleg te geven waarom je eens wachtwoord vrijwel nooit moet opslaan, ook niet encrypted. Voor een volledige uitleg van een veilige hash kan je inderdaad een andere bron gebruiken.

Onafhankelijk van het gebruikte algoritme, een wachtwoord moet altijd redelijk complex zijn maar eenvoudig voor de gebruiker (verzin maar iets leuks en lang) Met een wachtwoord 12345678 ben je redelijk kansloos.
Ik kan zeker een reden bedenken. Ik heb recentelijk een veilingsite gebouwd waarbij ik graag users wil authenticeren zonder externe partij icm een 2e factor.
Het opslaan van wachtwoorden doe ik icm bcrypt waarbij ik een wachtwoordpolicy afdwing van minimaal 8 karakters waarbij 2 cijfers, 1 hoofdletter en een special character. Als jij vindt dat dit maar een beetje geknutsel is dan ben ik wel benieuwd naar jouw projecten :)
Je gebruikt bcrypt, een password hashing functie, dat slaat geen wachtwoorden op maar een hash. En dat is prima :).
Ah ok. Dan kwam daar het misverstand vandaan. Ik zie hashing op de een of andere manier ook als een soort (one-way) encryptie. Vandaar dat ik enigszins struikelde over je standpunt. Excuses.
Dat er werkelijk geen enkele reden is om het wachtwoord op te slaan, of het nou encrypted is of niet. Kan jij wel een reden bedenken?
...
Je gebruikt bcrypt, een password hashing functie, dat slaat geen wachtwoorden op maar een hash. En dat is prima :).
Als je een wachtwoord versleutelt, sla je toch ook cipher text op en dus geen wachtwoord?

Het artikel dat je linkte pleit juist voor het totaal niet opslaan van (gehashte of versleutelde) wachtwoorden en gebruik maken van 3rd party solutions tbv authenticatie.

Dus zeg het eens, wel of niet wachtwoorden opslaan?
Spraakverwarring, waar het mij om ging was dat je het wachtwoord met een one-way hash opslaat, terwijl het in de praktijk vaak onversleuteld (ja ik kom het nog tegen) of versleuteld (two way) in de database staat. Dat laatste wordt dan gedaan om het wachtwoord via de mail! 8)7
tee sturen als iemand zijn wachtwoord vergeten is. Dus als je geen gebruik maakt van een third party auth, dan een one-way hash met bijvoorbeeld bcrypt.

Ik was niet helemaal duidelijk in mijn verwoordingen eerder, excuses.
Ik weet niet precies wat je wil zeggen hier. Je bent ergens gelukkig mee, maar ik weet niet met wat. En je geeft aan dat een third party security een ander gat is in dezelfde boot? Ik volg je niet meer.
Waarom wordt data zoals adressen en telefoonnummers eigenlijk niet encrypted opgeslagen? Is dat niet te doen ivm performance?
Iets (wat eveneens gehackt kan worden) zal die gegevens moeten kunnen lezen en je wil ook de toegang tot je eigen gegevens niet zomaar verliezen, dus je krijgt er wel direct een nieuw probleem bij: sleutelbeheer. Dus encryptie hoeft het probleem niet per se eenvoudiger te maken.
Beetje offtopic, maar komt deze school ooit wel eens positief in het nieuws?
Heb echt het idee dat het een grote shitshow is daar.

Woonadressen en telefoonnummer is natuurlijk een hele kwalijke en vervelende zaak die zeker ervoor kan zorgen dat mensen worden lastig gevallen.

[Reactie gewijzigd door Cogency op 1 maart 2021 17:36]

Ik heb een module van een post-hbo/master gevolgd bij Inholland. Dit was allemaal keurig geregeld en de lesstof was op het niveau wat je mocht verwachten.

Destijds (paar jaar geleden) hadden ze nog geen Moodle in ieder geval.
't is natuurlijk ook lastig om een onderwijsinstelling positief in het nieuws te brengen. "Hogeschool Inholland heeft beveiliging in orde" is nou niet echt een artikel wat ik zou aanklikken.. :+
Maar is dit nu een bug/lek in Moodle waardoor dit mogelijk was of is er iets anders fout gegaan?

Op dit item kan niet meer gereageerd worden.


Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers is samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer onderdeel van DPG Media B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee