Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Leerling hackt laptop Friese docent waarna data 1150 leerlingen uitlekken

De persoonlijke gegevens van 1150 leerlingen, hun ouders en het personeel van een Friese school zijn vorige week uitgelekt op internet. Een leerling had een laptop van een docent geleend en vervolgens gehackt. Daarna werden de gegevens onder leerlingen verspreid via Discord.

Volgens de Leeuwarder Courant mocht de leerling in kwestie eind november een laptop lenen van een docent van de scholengemeenschap Liudger Raai in Drachten om een schoolopdracht te maken, terwijl hij zijn eigen laptop niet bij zich had. Hij maakte van de gelegenheid gebruik om heimelijk software te installeren, waardoor hij later toegang kon krijgen tot de gegevens van het toestel, van de lokale afdeling van de scholengemeenschap en tot het onlineplatform van de scholengemeenschap. Dit blijkt uit een verdere reconstructie van de Leeuwarder Courant.

Die gegevens waren onder andere namen, adressen, telefoonnummers en e-mailadressen van zowel leerlingen en ouders als het personeel van de lokale school. Ook gevoelige informatie, zoals over leerstoornissen, werd buitgemaakt. Volgens de Leeuwarder Courant werden de gegevens vorige week gepubliceerd via Discord en, volgens de school, actief met andere leerlingen gedeeld.

Nadat de scholengemeenschap op de hoogte werd gesteld van het lek, werden volgens directeur Joop Vogel de nodige maatregelen getroffen. Zo zou de laptop van de betrokken docent onderzocht zijn en werd deze opgeschoond. Er werd contact opgenomen met de politie en de ouders; de scholengemeenschap heeft het lek naar verluidt gemeld bij de Autoriteit Persoonsgegevens. De leerling en een andere betrokken student werden geschorst.

Update, 18u10: verduidelijkt dat de leerling ook toegang had tot het onlineplatform van de school.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Jay Stout

Redacteur

27-01-2022 • 18:04

251 Linkedin

Reacties (251)

Wijzig sortering
Volgens de Leeuwarder Courant mocht de leerling in kwestie eind november een laptop lenen van een docent van de scholengemeenschap Liudger Raai in Drachten om een schoolopdracht te maken en dit omdat hij zijn eigen toestel niet mee had.
Dat mogen leerlingen van mij niet, al hoeft dat ook helemaal niet. Wij hebben meer dan genoeg laptops voor leerlingen.

Maar als een dergelijke situatie zich wel zou voor doen: dan nog doe ik het niet. In zo'n geval zeg ik gewoon dat de laptops op zijn en dat er sprake is van overmacht.

Via mijn laptop is het overigens onmogelijk om bij data van alle overige leerlingen te komen. Ik heb de .rdp snelkoppeling van Magister niet en als ik die wel had gehad, dan was 2FA ingeschakeld (standaard bij ons op school).

Het enige dat er van de school op mijn laptop staat zijn documenten, foto's en video's voor zelf ontwikkeld lesmateriaal.

Zo'n leerling moet direct van school geschopt worden, anders leert-ie het nooit af. Wij hadden er ooit eentje die werkgeheugen uit een pc gejat had en verlinkt werd door een klasgenootje van hem, omdat al zijn klasgenootjes een bloedhekel aan hem hadden. Ook al was hij het zoontje van een docent, hij werd direct van school verwijderd. Good riddance...

[Reactie gewijzigd door Uruk-Hai op 27 januari 2022 19:24]

good riddance...? Lijkt me niet. De persoon is er gewoon nog, maar heeft nu geen school meer... Zo iemand heeft JUIST lessen en begeleiding nodig. Veel meer nog dan zijn of haar klasgenoten, want blijkbaar moet deze persoon leren wat wel en niet mag en wat consequenties zijn.

Iemand van school sturen is echt een heel zware maatregel en ik snap heus wel dat het gebeurt. Je moet ook voor de andere leerlingen een veilige omgeving creëren. Maar het idee van opgeruimd staat netjes is toch wel een beetje struisvogel gedrag. "Probleem is weg en dus opgelost" Het probleem is niet weg, het is enkel verplaatst en waarschijnlijk groter gemaakt.
Het is een zeer zware maatregel, maar het toont naar de leerling wel de impact van zijn daden.
Uiteraard zal een andere school de leerling moeten overnemen, en dat moet goed geregeld worden en onder verantwoordelijkheid van de huidige school.
Maar de leerling na significante diefstal van eigendom of gegevens, welkom heten op dezelfde school, vind ik een verkeerd signaal. Zowel naar de dader, als naar de overige leerlingen.

[Reactie gewijzigd door Zynth op 28 januari 2022 13:38]

En toch heb ik rechters onder dit soort omstandigheden scholen zien dwingen de leerling weer aan te nemen. Ze kregen nauwelijks straf van de rechter (jeugd) en ze hebben leerplicht etc.,

[Reactie gewijzigd door bzuidgeest op 28 januari 2022 18:40]

Feit is wel dat enkel al de hele periode voorafgaand aan het traject naar de rechter, zijn eigen straf al is. Je kan je indenken, dat het daadwerkelijk moeten verschijnen voor een rechter met je ouders, zodanig indruk maakt, dat een rechter oprecht berouw voor zich ziet en zo een vonnis velt.
Uiteindelijk is er voor de leerling in kwestie evenwel geen schone start op een nieuwe school, die komt daarmee ook terug op de plek waar iedereen weet wat die gedaan heeft. Bij terugval in gedrag of herhaling, en ze zullen je heus extra in de gaten houden, dan gaat een rechter bij een volgende keer dezelfde persoon ook echt weer anders bekijken...
Misschien. Maar de leerling kan ook als stoer worden gezien door veel van zijn klasgenoten. De meeste hacks zijn allemaal Bottom rate, een aap kan het spul, maar de meeste leerlingen en nieuws media weten nog minder dan niets en dan lijkt het heel wat.

Als we het nou over old school hackers hadden, maar nee, dit zijn domme script kiddies. Maken niets zelf, vinden niets zelf. Gedownload tooltje of zelfs gekocht. Het woord hacker zou eigenlijk niet gebruikt mogen worden voor dit soort. Maar zolang de rest niet beter weet kunnen ze er stoer mee doen.
Nee dat geknuffeld van etterbakken mag best wat minder.

Je leert mensen het snelste dat er consequenties vastzitten aan hun eigen gedrag door...


Juist, door consequenties te verbinden aan hun gedrag, ernstig fout gedrag ernstige consequenties.

En niet, je weet toch knul dat je dat niet met doen, je hebt mensen erg verdrietig gemaakt met dit gedrag. :O

Ja dat weet dat huftertje prima en met jouw methode weet het huftertje dat ie er mee wegkomt door zielig te kijken.
Ik geloof niet dat er gepleit wordt voor het knuffelen van etterbakken; wel voor het zodanig inrichten van de consequenties dat de etterbak zich kan verbeteren in plaats van verder af te zakken.
Scholen zijn er zelfs in de beste normale omstandigheden niet op ingericht om leerlingen zich te laten verbeteren. Zo veel mogelijk leerlingen door een standaard traject jagen en de maatschappij in sturen met een diploma. Met diploma's meer geld. Als de leerling zichzelf niet verbeterd gebeurd het niet. Het zou waar moeten zijn wat je zegt, maar ik geloof er weinig van in de praktijk.
Een school dient niet als rechtbank op te treden dus het kan enkel corrigerende maatregelen opleggen. Als er daadwerkelijk een straf opgelegd dient te worden is dit aan de jeugdrechtbank. Wat nablijven is nu niet echt een straf, dat valt nog onder corrigerende maatregel.

Wat betreft een schorsing wat neerkomt op wat bij volwassenen een ontslag om dwingende redenen genoemd word, de reden hiervoor is hetzelfde: Er is iets gebeurd waardoor verdere samenwerking onmogelijk is.

De reden dat verdere samenwerking met deze leerling niet mogelijk is zal niet zijn omdat hij het school gehackt heeft, dat gebeurd overigens wel vaker maar wel omdat hij gevoelige informatie over zijn medeleerlingen gelekt heeft. Dat zal gaan over leerstoornissen maar evengoed dat leerling X nog in zijn bed plast (schoolreis) of leerling Y zwanger is en een abortus overweegt of een andere leerling de ouders de rekeningen niet kunnen betalen.

De volledige safe space van de leerlingen in een schoolomgeving is opgeblazen, het vertrouwen tussen alle leerlingen en de school is zoek (want wie gaat nu een leerkracht in vertrouwen nemen dat men thuis losse handjes heeft) en ik moet er geen tekening bij maken dat die informatie gebruikt zal worden om te pesten.

Ik begrijp perfect dat een school dat geen andere mogelijkheid ziet dan onmiddelijk te schorsen net zoals een bedrijf geen andere mogelijkheid zou zijn om over te gaan tot ontslag om dwingende redenen. Dat het probleem dan weg is zou ik niet zeggen, de problemen moeten nog beginnen.
[...]
Zo'n leerling moet direct van school geschopt worden, anders leert-ie het nooit af.
Ik wil niet te veel meegaan in het populisme rondom streng straffen (straffen moet nuttig zijn en niet onnodig veel kosten), maar ik verwacht van een school meer dan alleen maar dat zo iemand geschorst wordt. Het geschorst worden lijkt me terecht omdat de jongen zijn vertrouwenspositie ernstig heeft misbruikt tegenover de school (1: hacksoftware installeren 2: daadwerkelijk gebruiken 3: gegevens stelen). Maar het publiceren van gevoelige data van andere leerlingen overstijgt de invloedsfeer van de school en dan verwacht ik eigenlijk of dat de school aangifte doet of dat de gedupeerden op de hoogte gesteld worden van de identiteit van de dader.

Wat betreft de identiteit van de dader openbaren: ik weet niet of dat noodzakelijk is. Ik ga er van uit dat de gevoelige beroepen waarin deze persoon in kwestie geweerd zou moeten worden, een VOG vereisen om aangenomen te worden en ik denk/hoop dat dat leidt tot een negatief advies. En dan hoop ik ook dat we niet zo naïef zijn om jongeren zo graag te beschermen: je kan niemand uitleggen dat kinderen niet begrijpen dat dit volstrekt niet ok is.
Van school schoppen klinkt inderdaad leuk, maar daar leert de leerling waarschijnlijk niet bijster veel van. Het is wel de meest makkelijke manier voor een school om van zijn zorg verantwoordelijkheid af te komen. Dit zorgt in NL ervoor dat het hele gezin als de sodemieter moet zoeken naar een alternatief omdat je met schoolplicht te maken hebt en dat is dusdanig “vijandig” dat je meteen in een ware hel terecht komt. Daar praat ik deze actie totaal niet goed mee, maar een school is er denk ik ook om niet alleen de makkelijke gevallen te bedienen. Iedereen vind het goed behandelen en leren van een kind het aller belangrijkste… tot het net even wat lastig wordt. Dan maakt het niks meer uit.

[Reactie gewijzigd door vgroenewold op 28 januari 2022 10:58]

Zo makkelijk gaat het niet. De school moet ook een een andere school vinden die de leerling accepteert:
Wordt uw kind van school gestuurd? Dan moet de school een andere school zoeken voor uw kind. Uw kind is leerplichtig. De school mag uw kind pas definitief van school sturen als een nieuwe school bereid is uw kind toe te laten.
Een kind heeft inderdaad leerplicht. Dus de school is niet zo makkelijk van zijn verantwoordelijkheid af.

In deze gevallen kan je zeggen dat een leerling nog een en ander moet leren. Aan de andere kant is er wel een dusdanige vertrouwensbreuk ontstaan, dat je je moet afvragen in hoeverre je nog van een school mag verwachten dat zij zich voor deze leerling gaat inspannen.
Iedereen vind het goed behandelen en leren van een kind het aller belangrijkste… tot het net even wat lastig wordt.
Net even wat lastig? Dus is moedwillig een misdrijf plegen. En met meerdere momenten gedurende een langere tijd waarop hij had kunnen stoppen.
Nou, wat dat betreft ken ik verhalen uit de praktijk (via werk van mijn vrouw). Dat ligt soms anders, ik ken er die als ouders als een tierelier en met goede wil proberen een andere lokatie te vinden, waarbij ze dan een veilig thuis melding van de oude school erachteraan krijgen als cadeau. In rechtzaken is dat vervolgens weer als onzin bestempelt, maar dat is hoe de praktijk werkt in best veel gevallen. Gezinnen worden hierdoor, steeds vaker, onder enorme druk gezet. De plicht van school in deze is er vaak 1 van afschuiven en wantrouwen richting de ouders zelf. Zie de reactie bijv. van de leraar hierboven met "good riddance", zonder de context helemaal te kennen etc.

Deze leerling in het bericht heeft uiteraard een misdrijf begaan, dat ontken ik totaal niet, maar het is en blijft een kind. Daar is sturing voor nodig. Een straf, ja, maar wel 1 die zou moeten werken. Van school gooien is geen oplossing, juist nu zou je zoiemand nog moeten kunnen helpen... juist de gevallen die lastig zijn zou ik bijna zeggen. Dat daar geen tijd voor is etc. etc. is leuk, maar zou niet het uitgangspunt mogen zijn. Denk je vervolgens aan hulpverlening voor het kind, ook erg leuk maar ook daar kennen we de berichtgeving al van, waarbij kids vaak een jaar op een wachtlijst staan. Mijn vrouw ziet juist kids die van school worden gestuurd, van kwaad tot erger worden. Boeit scholen dat echt wat? Ik zie het niet echt, terwijl je toch zou denken dat je het werk met een bepaald doel hebt gekozen.

[Reactie gewijzigd door vgroenewold op 28 januari 2022 15:39]

De leerling niet direct, maar zijn ouders wel, want die hebben die hebben er extra werk aan, en de crimineel blijft misschien jaar zitten door de overgang naar een nieuwe school, wat tot extra ergernis bij de ouders en het jong zelf leidt.

Die ouders brengen dat op hun beurt weer over op hun spawn. Bedenk zo:
De taak van school is om kennis over te brengen.
De taak van ouders is om iemand te creeren die als volwassene goed functioneert in de maatschappij.
Gezien de verblijfsduur per dag op school alleen al in uren per leerling, is de school een nog belangrijkere plek om de jeugdigen te leren hoe de maatschappij werkt en welke rol ze zelf hebben,
Te meer er vele tegenwoordig gewooon te lui zijn om hun kinderen op te voeden, want de gadgets, telefoons en elektronica met schermpjes is belangrijker voor ze als de tijd in hun eigen kind steken,.... en verantwoordelijkheid nemen voro hun rol in de opvoeding doen ze al niet, hoe verwacht je dan dat de kinderen dat leren???

[Reactie gewijzigd door Paulus3-3 op 29 januari 2022 09:34]

Oh, dus als ik de lui ben om mijn eigen plee door te spoelen, dan moet mijn docent dat maar komen doen, naast het overdragen van zijn kennis?
Wat die leerling heeft gedaan is een misdrijf. Grote kans dat dit ernstige gevolgen voor zijn leven gaat hebben. Grote kans dat hij vervolg wordt. Er staat terecht ook gevangenis straf op.
Dat zou betekenen dat deze sukkel dus meteen al een strafblad krijgt.

https://www.iusmentis.com...iteit/computervredebreuk/
Nee Joh, je kunt lid zijn geweest van een terroristische groepering en vervolgens in de haagse politiek terecht komen, valt allemaal wel mee.
Grote kans dat hij onder de 18 is en daarmee zodra ie wel 18 wordt een wipe krijgt van z'n strafblad. Niks meer aan de hand dus, behalve dat het brak staat als een betrokkene hem herkent.
Doet me denken aan dat ik nog op middelbare school zat. 1994 ofzo.
De computers zijn beschermd....
Ik probeerde gewoon format c: in een kladblok te zetten en op te slaan als *.bat op bureaublad.
Werkte voor zover ik weet.
Nooit op Y gedrukt.
Deze tijden zijn totaal anders, je laptop/telefoon uitlenen...

[Reactie gewijzigd door geronimos23 op 27 januari 2022 20:32]

Volgens mij kon je de Y/N vraag overslaan d.m.v pijp-teken en y, dus:
"format c: | y"

Wel eens een .bat gemaakt op school met Internet Explorer icoon op de publieke internet computers toendertijd... :X (22 jaar terug...)
Undocumented DOS feature :

format c: /u /q /autotest

start de format zonder enig tussenkomen. je kunt echter niet vanuit windows je systeem partitie formateren.
nog een leuke nugget, als je die regel opslaat in een .bat of .cmd bestand gaan de meeste antivirus applicaties af op iets van 'autoformat virus'

volgens virustotal maar 4 av engines die het herkennen:
https://www.virustotal.co...5cb35a2950e81b9?nocache=1

[Reactie gewijzigd door acehighness op 27 januari 2022 21:07]

Ik denk niet op een computer in 2000 zulke wakkere virusscanners waren...

Voorbeeldjes: Inloggen op Windows 98 ging met de Esc knop...

Berichtjes sturen naar het hele netwerk met "net send *"...leuke tijd...
Of de GUI variant: winpopup. Rete handig tijdens toetsen! O-)
Heel veel plezier beleeft met 'net send'
Haha ja een klasgenootje was zo slim om net send * te gebruiken en elke computer in het hele netwerk kreeg een bericht met zijn naam als afzender. Lachte me kapot toen 😂
Yup! zelfe bij mij een klasgenoot net send laten gebruiken naar het netwerk..., nog geen 5 minuten later kwam de systeem beheerder binnen met "wie was dat?!".

Maar ja een laptop uitlenen aan een leerling.. ookal met goede bedoelingen.. is gewoonweg nooit verstandig.
Collega van mij deed dat een keer per ongeluk op het werk, ook leuk. Drie jaar later vonden we nog zo'n message op een server :)
Format C: kan niet?! Zeker wel! altands in windows 98SE 🤘🏻😎🤟🏻 Wel leuk om te kijken wat er gebeurt. Maak wel eerst ff een backup...
Gewoon batch inderdaad. Op bureaublad windows 95? opgeslagen en dan uitvoeren ;).
Ms-dos was niet toegankelijk voor ons en onze kennis.
(nog steeds geen expert nu maar evengoed, dat wist ik wel ;)).

[Reactie gewijzigd door geronimos23 op 27 januari 2022 21:05]

Het leuke was altijd dat soort regels (tijdens release win95 zat ik in groep 8 ) in de AUTOEXEC.BAT van de restore image te plaatsen. O-)

[Reactie gewijzigd door xbeam op 28 januari 2022 03:04]

vergeet ook /q vooral niet
zal dan eerder zijn echo Y | format c:
Iets als, het is al lang geleden...
Och vreselijk dat ik pas 10 jaar na 1994 geboren werd. Op mijn basisschool haalde ik wel eens grapjes uit zoals een VBS script dat een schermpje opende, wat vervolgens niet meer dicht ging. Ik had toen nog nooit gehoord van loops e.d dus ik had die ene regel maar gekopieerd en geplakt voor weet niet hoe lang ;p.

Als straks alle computers "overbeveiligd" zijn, ben ik bang dat leerlingen zoals wij hun creatieve vrijheid niet kunnen ontdekken ;)
Ook rond 1994 kregen we een lesje "informatica" op school van onze docente Frans. Lieve vrouw die veel van Frans of wist, maar ik wist al meer van computers af en mijn vriend nog meer. Dus toen we in no-time door de opgavenreeks (doe zus en zo met windows 3.11) waren geraced vroegen we "Kunnen we weer gaan?" Nee, dat mocht niet, we moesten maar "wat spelen met het besturingssysteem". 5 minuten later hadden we een bestand geopend waarin een fraudegeval besproken werd (overigens alleen te vinden via de command prompt, de beveiliging was heel brak ingeregeld dat het alleen werkte in de windows explorer. Geen idee hoe dat precies werkte, maar zo'n directory waar we met windows explorer niet in konden werkte natuurlijk als een rode lap. Dat de optie "open command prompt, doe cd blah" wel werkte is wat sneu.). Daarna mochten we wel gaan :-).
Volgende keer
@echo off
for %%i in (d:,e:,f:,g:) do format %%i /FS:NTFS /x
in je script zetten, dan hoef je zelfs niet op y te drukken.
Ik ben nog van een wat oudere generatie. Ergens in 1985 kregen wij computerles van onze docent wiskunde. Op een Commodore 64. _/-\o_ Die zaten nog niet in een netwerk.
Na 3 lessen theorie, mochten we dan eindelijk met die computers spelen.
Hiervoor kregen we les in Basic.
Diezelfde les,liet ik de Commodore al dingen doen waar de docent nog nooit van gehoor had. |:(
Ik programmeerde zelf als enkel jaren thuis op de Commodore van mijn oudere broer.
De overige 7 lessen heb ik me dood verveeld. Niets nieuws onder de zon. (Ik was de docent trucjes aan het leren)

Zucht. Die goeie oude pre-historie. :)
Ben meer van de MSX lekker aanrommelen met BASIC idd. MSX had andere commando's. Commodore 64 had het commando PLAY niet weet ik nog.
1988. Alle computers (zonder harde schijf) alvast met de enorme schakelaar aangezet. De biologie-TOA vroeg dan altijd of de computers nog uit stonden. “Zeker, meneer!”. En als de hoofdschakelaar dan werd omgezet: BATS. Weer naar de stoppenkast.
MsDOS opstarten deden we met een floppy. Wekenlang hebben we hem wijsgemaakt dat de floppy’s er ondersteboven in moesten.
[wijsneusmodus]

Ooit gehoord van de 'flipfloppy'? Een normaal uitziende floppy welke maar aan één zijde wordt beschreven, met één leeskop in de drive (niet 2 dus). Al snel kwamen fabrikanten met floppy's die aan twee zijden beschreven konden worden en met slechts 1 leeskop moest je dus voor het 2e volume letterlijk de floppy ondersteboven er in steken. Ik meen dat deze drives in de smaakjes 160kB en 180kB aanwezig waren voor 5,25" disks. Voor 8" floppen durf ik niet te zeggen.

[/wijsneusmodus]

Terug on-topic.
Een beetje kraken op school zolang het vriendelijk, non-destructief en zonder gegevens te kopiëren/verspreiden gebeurt, is nog wel te overzien. Zo weet ik dat mijn maatje en ik een script konden omzeilen / uitschakelen waarmee de admin op afstand kon meekijken.

Wat hier is gebeurd is gewoon een beetje voorbij de rek van het gebeuren.

Stel, leerling kraakt het systeem, kan data inzien van andere leerlingen maar doet er verder niks mee en dat komt uit: berisping is op zijn plaats en in overleg met ouders wat extra begeleiding zoeken is dan meer op zijn plaats.

Leerling downloadt data van dat gekraakte: dat is al over de rand. Gewoon onacceptabel en daar zou iets als bureau Halt een redelijke tussenstap kunnen zijn.

Maar ook nog verspreiden op iets als Discord (of wat mij part pastebin)? Dan snap ik dat je als school wel genoodzaakt bent aangifte te doen. Het is een datalek dat conform AVG moet worden behandeld en aangifte gedaan moet worden.

Schorsing of van school sturen is wel een erg zware maatregel, maar ik snap dat 'de school' met zijn handen in het haar zit. Hoe los je dit op? Is er überhaupt wel capaciteit om dit intern in banen te leiden?
In die tijd werden de systemen vaak ook door een conciërge beheerd die 'iets' met computers had. Ik heb toentertijd in mijn 6VWO jaar zelfs het hele beheer van de interne IT gedaan. Accounts aanmaken en opschonen (zowel leerlingen als docenten), PC's van docenten en op de administratie installeren, kabels in het computerlokaal 'tekkeren', CD's voor docenten kopiëren. Niet geheel verwonderlijk dat ik 6VWO twee keer heb gedaan 😅

Zo kan ik me van voor mijn tijd ook nog een geval herinneren dat de CD-ROM tower die via het netwerk 6 discs kon delen steeds onbereikbaar was. Men dacht toen dat leerlingen het admin wachtwoord hadden of een andere backdoor. Er is toen een hele dag van alles geherïnstalleerd. Uiteindelijk bleek het een licentie kwestie te zijn, omdat er meer apparaten dan toegestaan verbinding zochten 😁

Alles draaide toen nog op Novell NetWare, met zijn mooie DOS-achtige server interface.

[Reactie gewijzigd door eborn op 28 januari 2022 12:34]

De 2FA is natuurlijk niet de sluitende beveiliging. Stel dat de laptop "open"overhandigd was, is Magister nog steeds toegankelijk omdat de 2FA ongetwijfeld met een sessielengte werkt; heel vaak 50 minuten; de lengte van de gemiddelde les in Nederland in het vo.
Beveiliging begint bij menselijk handelen en de verantwoordelijkheid om daar mee om te gaan. Daar is vooral de leerling meer dan dik uit de bocht gevlogen maar kan de docent naïviteit verweten worden.
De sessie kan natuurlijk ook aflopen bij het sluiten van het venster.
Je oordeelt in mijn ogen wel heel erg makkelijk heel erg hard zonder ook maar iets van de verdere details te weten.

Ja er moeten consequenties zijn, maar er hebben het hier wel over een kind. Dat voorbeeld over geheugen stellen klinkt mij ook als een compleet buiten proportionele reactie (als dat het eerste en enige incident is) of mensen en hekel aan hem hadden is natuurlijk compleet irrelevant, of zou dat moeten zijn, als hij populair was had hij er wel mee weg mogen komen?!
Hij had wel meer op zijn geweten dan dat geheugen destijds. Dat geheugen was een druppel op een al gloeiende plaat.

Begin me alsjeblieft niet over details. Ik heb het hier over een situatie van 18 jaar geleden.

Die school waar ik werk stuurt NIEMAND zomaar snel weg, of het nu om een leerling of om een personeelslid gaat. Mensen krijgen daar regelmatig een tweede of zelfs derde grote kans, maar op een gegeven moment is de koek op en volgen er harde maatregelen.

[Reactie gewijzigd door Uruk-Hai op 28 januari 2022 19:41]

Ik ben het met je eens. Ik vind het heel jammer dat als, je een computer in goed vertrouwen uitleent om iemand te helpen, dit vertrouwen wordt geschaad door deze leerling.
Ik zou ook zorgen voor vervolging wegens computervredebreuk en ervoor zorgen dat deze leerling gaat snappen dat je niet zo met de medemens omgaat.
Ik zal ook nooit mijn laptop aan leerlingen uitlenen. Ik leen wel eens mijn Chromebook uit aan leerlingen maar die beveiliging is anders (alles in de cloud, er staat niks op het apparaat zelf) en ze blijven altijd in mijn lokaal. Bovendien gebruik ik die Chromebook echt nooit zelf.
Magister (leerling volgsysteem) komen ze niet in want 2fa via mijn mobiel. Al mijn emails zitten ook achter 2fa behalve die van school (kan blijkbaar niet).

Het is overigens wel een enorm misselijke streek van die leerling. Bovendien is het een misdrijf.
Dat hebben we vaker geprobeerd "van school trappen" Maar vanwege leerplicht en recht op onderwijs. Bleek dat moeilijk voor de rechter vol te houden. leerlingen moesten gewoon terug aangenomen worden.
Opdraaien voor de schade en er voor aan het werk gezet worden werkt beter dan van school sturen. Welkom in de echte wereld voor de jongeman.
Los van het feit dat de docent zijn of haar laptop uitleent, zie ik hier heel veel mis gaan:
  • Waarom heeft een docent de bevoegdheid om gegevens van 1150 studenten in te zien? Het lijkt me sterk dat deze studenten gelijktijdig zijn vakken volgen.
  • Waarom was dit niet beveiligd met 2FA?
  • Waarom zijn er geen alarmbellen afgegaan bij de applicatiebeheerders? Dit soort abnormale interacties zou meteen een melding moeten zijn.
Wat ik ook zie misgaan (Los van crappy ict beleid van zo'n school als gevolg van krap budget):
  • Leerling misbruikt vertrouwen van leraar
  • Leerling installeert doelbewust hack software
  • Leerling plaats bewaart dit een tijdje. waarom? voor chantage doeleinden?
  • Leerling publiceert deze gegevens
  • Leerling doet alsof hij een held is, en ierdereen behandelt hem ook zo
Dus waarom zou je als leraar in het vervolg moeten uitgaan van het goede in de leerling? Ik zou het niet weten. Elke student is dus potentieel een gevaar waartegen je je moet wapenen. Gek waarom er een lerarentekort is...

[Reactie gewijzigd door Marcelloz op 27 januari 2022 22:46]

We gaan te vaak ervan uit dat iederen goed is. Wat men niet realiseert dat kinderen nog zo klein door de ouders verpest kunnen zijn. Mijn ma was peuter lerares, in haar klas was een inbraak, nadat een van haar kinderen moedwillig een raam van het slot had gehaald. Dit zijn overigens dezelfde ouders die ook met geweld verhaal komen halen omdat mijn ma haar dochtertje bij de pols had gepakt.

En dan maar raar staan te kijken waarom men geen leraren meer krijgt. Leraar wordt je niet voor het geld, maar als dan ook nog eens van dit soort ontuig bij je in de klas zit is de pret er toch helemaal vanaf.
Ik hoor/lees dat (non)argument over slecht verdienende leraren regelmatig, maar zo slecht verdienen die echt niet hoor.
Wat verdien ik als leraar in het basisonderwijs?

Een leraar in het basisonderwijs en speciaal onderwijs verdient tussen € 3.100 en € 5.850 per maand. Dat is inclusief onder andere vakantiegeld en een eindejaarsuitkering. Dat staat in de cao primair onderwijs (cao po).

Bron: https://www.rijksoverheid...aar-in-het-basisonderwijs
M.a.w., op t/m boven modaal:
Het modaal inkomen in Nederland bedraagt 36.500 euro bruto per jaar. Dat is 2.816 per maand, exclusief vakantietoeslag.

Bron: https://www.tempo-team.nl/sollicitatie/salarisindicatie

[Reactie gewijzigd door RV op 28 januari 2022 09:15]

Hoewel ze de CAO hebben is het helemaal niet de norm dat men daadwerkelijk zo betaald krijgt. Nu is het even geleden dat mijn ma lerares was maar voor zeker jong personeel was het vaak maar aanrommelen hopen dat ze een vaste aanstelling kregen. Die moeten dus jaren en jaren part time bij rommelen en na een jaar of twee mogen ze weer naar een andere school. Een vaste aanstelling is helemaal niet normaal, dat je zoveel krijgt, zeker niet de norm. Ook nu niet.

Daarnaast ben je gewoon veel meer uren kwijt, zo was m'n ma altijd daar om 8 uur terwijl de school open ging om 9, wanneer de school voorbij was vaak zat nog wat vergaderen, tests nakijken en meer van dat soort werk. Er was nooit geld voor materiaal, zij kocht heel vaak zelf materiaal voor studenten (schriften, pennen enz.).

Nogmaals, er is een goede reden waarom ze structueel personeels tekort hebben, het betaald gewoon slecht, de uren zijn slecht en als je een beetje pech hebt de school is ook nog eens slecht.
Natuurlijk en ik ben het met je eens dat het niet goed is om de student als held te kenmerken. Sterker nog, de student heeft middels social engineering de hack uitgevoerd. Gezien het om een hacker gaat met kwade bedoelingen welke de gegevens heeft overgenomen staat hier een gevangenisstraf van maximaal 4 jaar op.

[Reactie gewijzigd door TallyO op 27 januari 2022 23:20]

Yes, dat is precies wat je leert in de verplichte trainingen. Als school ben je namelijk verplicht om je medewerkers op te leiden middels trainingen omtrent de AVG en hacking. Mogelijk dat dit hier niet gedaan is en anders hebben ze in ieder geval gefaald in het opleiden.
Kun je hier aub een of andere bron aan toevoegen? Niet dat ik je niet geloof, maar mijn manager moet ook overtuigd worden.
https://autoriteitpersoon...eiligingsmaatregelen-6384

Dit valt onder het kopje "Bevorderen van beveiligingsbewustzijn bij bestaande en nieuwe medewerkers.".

De zwakste schakel in de beveiliging blijft toch uiteindelijk de mens. Denk aan:
  • het hergebruik of het gebruik van simpel te raden wachtwoorden,
  • post-It's met gevoelige informatie erop,
  • uitwisselen van USB-sticks,
  • uitsteken van toegangskaart,
  • binnen laten wildvreemden,
  • openen van onbekende mails of websites,
  • gebruik van persoonlijke accounts op werkcomputer of het gebruik van werkaccounts op een persoonlijke computer.
De lijst is lang. En ja niet iedereen is zo technisch. Leid je je medewerkers niet (goed genoeg) op en is er dan een datalek, dan hang je.

[Reactie gewijzigd door TallyO op 29 januari 2022 01:38]

Het één sluit het andere niet uit, en de kritiek hier is juist niet op de leraar maar op het applicatiebeheer
|:(


1 kind doet iets en alle kids overal moeten hier op aangekeken worden....

Hoe braaf was jij vroeger? Nooit iets kapot gemaakt/gestolen, iemand gepest of uitgescholden? Kom op zeg, we hebben het over een kind...
Ik heb vroeger uit interesse eens een hacktool uitgeprobeerd op het schoolnetwerk (Novell). Binnen een minuut stond een beheerder achter me en mocht ik als straf 8 uur lang het schoolplein vegen. En terecht! :9~
Je moet daar als docent natuurlijk nooit van uit gaan. Als ik terugdenk aan mijn schooltijd zou ik het ook niet laten: stel je voor dat je de antwoorden op de volgende toets kan vinden op die pc. De docent had welllicht ook een gastaccount op zijn laptop kunnen maken en de leerling daar op in laten loggen. Dat is nog niet 100% waterdicht maar dan was het een stuk lastiger geweest.

De roep om zware straffen volg ik zelf niet helemaal. Tuurlijk is het niet goed wat hier gebeurd is, maar kom op, je bent zelf ook jong geweest toch? Welke 12-16 jarige tweaker had deze kans niet benut om op zijn minst even te sneupen?
Dus waarom zou je als leraar in het vervolg moeten uitgaan van het goede in de leerling? Ik zou het niet weten. Elke student is dus potentieel een gevaar waartegen je je moet wapenen.
Los van de naïeviteit van de leerkracht en zonder het gedrag van de jongen goed te willen praten; het is een scholen gemeenschap voor voortgezet onderwijs. Kinderen (want daar hebben we het dan over) doen op die leeftijd soms HELE domme dingen waar ze de gevolgen niet direct van overzien. Speculatie hoor; maar het zou zomaar kunnen dat het van een "kijk eens wat ik durf" actie volledig geescaleerd is, zonder dat dit de oorspronkelijke intentie was.

Natuurlijk verdient hij een straf, dat lijkt me duidelijk. Maar 'van school aftrappen' oid lijkt me ook niet echt constructief (welk probleem los je daar precies mee op?).
Ik werk voor een ICT leverancier voor het onderwijs. Scholen hebben bakken met geld. Als je ziet wat er links en rechts word weggegooid aan geld (en apparatuur).... Niet te geloven. Als ik wil kan ik mijn huis volhangen met digitale schoolborden en dat is maar een simpel voorbeeld.

Geen enkel ICT beleid kan bijna op tegen een docent die gewoon waarschijnlijk 10 regels heeft overtreden.
Je eerste punt is echt belangrijk.
Waarom kon een docent bij gegevens van 1150 studenten en bij de volgende gegevens:
"Die gegevens waren onder andere namen, adressen, telefoonnummers en e-mailadressen van zowel leerlingen, ouders als het personeel van de lokale school. Ook gevoelige informatie zoals bijvoorbeeld leerstoornissen, werd buitgemaakt."

Het is totaal absurd, dat "een" docent bij al deze gegevens kan kijken.
Dat is op zichzelf al een potentieel lek en bestond dus al, voordat de de gebeurtenis met de student plaats vond en het is maar de vraag als echt niemand van de docenten ooit deze gegevens heeft gebruikt/bekeken, terwijl hij ze niet nodig had voor zijn functie.

[Reactie gewijzigd door bangkirai op 27 januari 2022 21:42]

Hoezo is dat absurd? De hoeveelheid leerlingen misschien maar dat hangt af van de functie van de betreffende leerkracht. Wat ik in mijn omgeving zie is dat veel leerkrachten meer zijn dan "slechts" leerkracht voor hun eigen groep.

- NAW gegevens: Veelal wordt Parro, of een vergelijkbaar platform gebruikt, maar in geval van nood (wat nog wel eens gebeurd op een school met honderden/duizenden kinderen) wil je niet eerst toestemming vragen of viavia gegevens opvragen.
- Leerstoornissen/beperkingen/etc: Dit lijkt mij geen verklaring nodig te hebben.
- Personeel info: Afhankelijk van de functie en welke gegevens het daadwerkelijk om gaat is dit een vreemde. Ik stel hierbij ook de vraag wat voor personeel info. Wat ik rond zie is dat praktisch iedereen uiteraard wel het zakelijke telefoonnummer en/of e-mailadres van collega's kunnen zien maar bijv. geen NAW of loongegevens.

[Reactie gewijzigd door Caayn op 28 januari 2022 09:00]

Van mij part mogen ze de AVG wel uitbreiden. Een bedrijf houdt nu bij welk soort informatie voor welk doeleinden wordt opgeslagen en voor hoe lang. Hier mag dus ook bij een uitgebreide documentatie van hoe deze informatie veilig bewaard wordt. Kan je dit als bedrijf niet leveren, dan heb je geen controle over je systemen en zou je deze gegevens niet mogen opslaan.
Zoiets heet een privacy verklaring
Onderbelichte reactie, maar het feit dat deze scholier zo eenvoudig was om de gegevens te openbaren toont het falen aan van de scholengemeenschap.

Tuurlijk is de scholier fout, maar nog fouter is dat dit zo eenvoudig kon gebeuren.
Tuurlijk is de scholier fout, maar nog fouter is dat dit zo eenvoudig kon gebeuren.
In jouw ogen is de school schuldiger dan de dader? Volgens mij moet het zijn: "De school is fout en de scholier is fouter".

Wat jij hier zegt kun je ook uitleggen als: "Ja, moppie... Geen wonder dat je verkracht wordt, want je loopt er ook zo lekker uitdagend bij! ...En dus ben je fouter dan de verkrachter! Of "Ja, dan had je je auto/fiets/scooter maar op slot moeten zetten! Dan wastie niet (leeg) gejat! Jij bent fouter dan de dief!".

Mensen moeten gewoon met hun tering poten van andermans spullen afblijven! ...Of in dit geval had die jongen de computer op een normale manier moeten gebruiken en niet hacken en al helemaal niet privacy gevoelige gegevens moeten verspreiden. Elk weldenkend mens weet dat je dan een verkeerd pad bewandeld.
Het is hoe dan ook beiden fout, maar het is appels met peren vergelijken. Richting al die slachtoffers lijkt het dan ook eerder redelijker om het niet te willen vergelijken en duidelijk te zijn dat beide situaties veel te ver zijn gegaan, met als gevolg dat het nauwelijks meer is terug te draaien voor al die studenten.

In dit geval kon het een niet zonder het ander. Als de school haar wettelijke verplichtingen goed had uitgevoerd dan was dit voorkomen. Als de scholier de wettelijke verboden handelingen niet probeerde te overtreden was dit niet gebeurd.

Aangezien alle betrokkenen, behalve al die getroffen studenten, dus de wet niet heel nauw aan het naleven lijken te zijn geweest op kosten van al die slachtoffers lijkt het me niet snel redelijk om hoe dan ook maar het een minder erg te vinden dan het ander.
Aan welke wettelijke verplichting heeft de school niet voldaan, ik haal dat niet uit het bericht ? Als de docent deze data voor zijn werk nodig had, dan is het logisch dat hij toegang tot deze data had? De "hackende" scholier had geen recht op toegang tot deze data, en hij heeft wel de wet overtreden.
Ik doe niets anders dan de kromheid van jouw redenatie te verduidelijken met behulp van een metafoor.

Dat je je daarmee aangevallen voelt, ligt niet aan mij, maar vertelt naar mijn inziens meer over het feit dat jij je bewust geworden bent van je kromme redenatie.

No hard feelings, man!
... Als het niet deze jongen was geweest dan was het wel een buitenlandse hacker geweest. ...
Zou de docent zou zijn laptop aan een buitenlandse hacker uitlenen?
En je kan er vanuit gaan dat die fiets gestolen wordt.
Lachen ja, deden we vroeger wel eens als spelletje met wat oude barrels. Zet hem neer zonder slot, en kijk vanaf afstandje hoe lang het duurt.

Meestal na enkele minuten staat er al een sloeber bij stil en loopt er gewoon heel nonchalant mee weg. Een enkeling loopt er een klein stukje mee en laat hem dan toch maar weer achter (want te oud).

Zal nu nog wel hetzelfde zijn.
Hij maakte van de gelegenheid gebruik om heimelijk software te installeren, waardoor hij later toegang kon krijgen tot de gegevens van het toestel, van de lokale afdeling van de scholengemeenschap en tot het onlineplatform van de scholengemeenschap
Die gegevens waren onder andere namen, adressen, telefoonnummers en e-mailadressen van zowel leerlingen en ouders als het personeel van de lokale school. Ook gevoelige informatie, zoals over leerstoornissen, werd buitgemaakt. Volgens de Leeuwarder Courant werden de gegevens vorige week gepubliceerd via Discord en, volgens de school, actief met andere leerlingen gedeeld.
Leuk voor de slachtoffers, die goedpraterij van overtredingen, misdrijven, delicten, etc. Misschien moet jij het ook eens van de andere kant bekijken...
Dus jij wilt zeggen dat het niet op slot zetten van je fiets beboet moet worden? Het is immers fouter dan het stelen van een fiets. Nee dom is het wel, maar niet fout. Dit is dan ook geen goeie vergelijking.

Het niet goed beveiligen van je data is wel strafbaar, dus daar is deze school wel fout bezig, maar die jongen zal echt niet uit verveling even een stuk malware installeren om data te verzamelen, om deze vervolgens te verspreiden.
Inbreken op een systeem kan nog uit verveling of nieuwsgierigheid, maar als je dan ook bewust de verkregen data gaat verspreiden is het echt wel meer dan verveling.

[Reactie gewijzigd door mjz2cool op 28 januari 2022 15:45]

Sneakers onder je nette pak dragen is ook fout, maar dat betekent niet dat je daarvoor beboet moet worden. Dus nee, ik wil totaal niet zeggen dat je daarvoor beboet moet worden. Ik kan nog wel 100 dingen bedenken die fouter zijn dan het stelen van een fiets waarvoor je geen boete krijgt.
Daarnaast ken ik iemand die is gaan hacken uit verveling. Dus dat kan zeker.
Mijn advies voor jou: Even uit die starre gedachtengang gaan. Dat jij je bepaalde dingen niet kan voorstellen betekent niet dat het ook waarheid is.
Dat is wel een andere "soort" fout. Een fiets stelen is gewoon diefstal, een fiets niet op slot zetten is gewoon niet slim.
Hacken uit verveling kan ook zeker wel, dat ontken ik nergens. Maar doelbewust malware installeren, data verzamelen, en dit verspreiden is niet meer uit verveling. Je gaat niet even uit verveling zorgen dat je zelf problemen krijgt.
Sommigen mensen gaan schaken uit verveling, sommige mensen stelen, sommigen vechten, anderen hacken. Dus ja dat is precies wat mensen gaan doen uit verveling.

Zoals ik eerder al gezegd heb, wat mensen wel en niet doen heeft veel te maken met opvoeding. Als iemand tijdens de opvoeding geen duidelijke grenzen heeft gehad en er wordt nergens consequenties aan verbonden, wat is dan de reden om zoiets niet te doen? Consequenties en grenzen zijn ze dan gewoon niet bekend mee, het is betekenisloos.
In sommige gemeentes staat het of heeft het gestaan, in de APV, dat het je fiets of auto niet moet afsluiten / op slot doen. Weet niet of het nog veel voorkomt...
Nee dan ben je niet fouter. Vergeten is zonde en onvoorzichtig. Bewust is laks. Maar je bent niet fouter dan de overtreder. Het is nog altijd geen legitimatie voor een dief om de wet te overtreden.

En iets uithalen, bijv het bureaublad van de meester van een background met de concurrerende voetbalclub voorzien, is wat anders dan persoonsgegevens stelen en online zetten.

Naar jouw redenatie stopt de rechter het slachtoffer in de cel en krijgt de dader een koekje. Slaat werkelijk nergens op.
Ik zeg ook niet "jij zegt"; ik zeg "naar jouw redenatie".
Jij stelt namelijk dat het slachteroffer vd fietsendiefstal of de hack fouter is dan de dader.

Dat irritante toontje kan trouwens wel wat minder. We zitten hier op Tweakers, niet of FOK of FB.

[Reactie gewijzigd door Jorgen op 28 januari 2022 02:26]

Mijn oprechte excuses! Ik wist niet dat je op een hoog paard zat.
Volgens mij is dat een reactie, op een actie.

En mening modden is al jaren niet toegestaan op Tweakers. Je kunt ook zeer makkelijk op het forum aangeven dat een frontpage reactie goed of verkeerd beoordeeld wordt.

Prima dat je het eens bent met elkaar, maar dat maakt iets niet ineens feitelijk waar of niet waar.
Het is fout dat hypothetische moord gebeurd is, maar nog fouter dat het slachtoffer alleen s’nachts over straat liep /s
Waarom heeft een docent de bevoegdheid om gegevens van 1150 studenten in te zien? Het lijkt me sterk dat deze studenten gelijktijdig zijn vakken volgen.
Sorry maar dan heb je nog geen echt grote scholen gezien. Naast lesgeven hebben veel docenten ook andere (secondaire) taken. Dus wellicht is deze docent de mentor of iets dergelijks voor al die studenten. En dan moet deze er gewoon bij kunnen. Een andere optie is een kleine school waar de docenten ook administratieve functies hebben.
Waarom zijn er geen alarmbellen afgegaan bij de applicatiebeheerders? Dit soort abnormale interacties zou meteen een melding moeten zijn.
Bijna alle leerling informatie systemen zijn SAAS systemen (magister, panassys, Eduarte, Osiris, somtoday etc etc). De leverancier zou dan moeten monitoren. Het is niet alsof dit lokaal op een servertje in de hoek draait.

De leveranciers valt dit ook niet op. 1150 leerlingen? Dat is voor de meeste informatie systemen helemaal niets. Er zijn scholen met 20,000 plus leerlingen. Een lijst uitdraaien voor 1150 leerlingen? Kan voor een mailing zijn. Niemand gaat ingrijpen.
Waarom was dit niet beveiligd met 2FA?
misschien wel, maar dat helpt niets als er een remote een sessie die al open is word overgenomen. Je hoeft alleen maar te wachten tot de docent de 2FA voor de applicatie doet.

De laptop uitlenen was de domme zet. Maar ik kan een docent die een leerling probeert te helpen en dit over zich heen krijgt wel begrijpen. Je verwacht het gewoon niet. Stank voor dank!

[Reactie gewijzigd door bzuidgeest op 28 januari 2022 18:50]

Tja, het antwoord op al die vragen is geld. Er is geen gespecialiseerd personeel die dit allemaal regelt. Alles is houtje touwtje en excel sheets
Dit klopt niet, het programma wat op deze school wordt gebruikt is SOMtoday. De docent heeft daarvan het wachtwoord open staan. Waardoor er zo in kon worden gelogd.
https://som.today/themas/avg-en-privacy/

( oud leerling op Liudger )
Het vertrouwen is geschaad. In dit soort situaties krijgt de partij dan ook een boete vanuit AP.

Mogelijk dat dat de studenten een collectieve schadeclaim gaan indienen. Uiteindelijk zijn de slachtoffers hier de studenten, niet de school.

Het gaat overigens niet alleen om adresgegevens maar ook andere persoonlijke informatie omtrent thuissituatie, gezondheid (stoornissen), studieproblemen etc. Dit soort informatie kan namelijk voor allerlei kwade doeleinden gebruikt worden (denk aan bijv. afpersing).

[Reactie gewijzigd door TallyO op 27 januari 2022 23:17]

De leerling, en een andere betrokken student, werden geschorst
Lijkt me toch dat dit genoeg is voor een gevalletje 'jou willen we hier nooit meer terugzien'? Hoe bont moet je het maken om tegenwoordig van de middelbare geschopt te worden?
Ze moeten eerst een andere school voor ze vinden, vanwege de leerplicht kan het natuurlijk niet zijn dat iemand volledig zonder school komt te zitten. Bron.
Dat zou dan eigenlijk het probleem van de ouders moeten zijn die zo'n waardeloos strongjong hebben opgevoed.

Kom je aan 'waarom wilt u uw kind op onze school plaatsen?'.
'Omdat hij vanwege zijn criminialiteit van de vorige school afgetrapt is'.
'Dan houd hem maar lekker zelf'
Dat lijkt mij niet de beste oplossing. Bedoel, als je uit de gevangenis komt om wat voor reden dan ook dan krijg je ook een tweede kans om mee te doen aan de maatschappij, en scholing lijkt mij daar een onderdeel van.
Wie zegt dat het aan de opvoeding ligt?
Het lijkt me ook helemaal niet handig om zo iemand maar van school te trappen, dan leert de leerling er niks van, en zitten de ouders met een probleem.
Ik herken me wel in dit gedrag toen ik 16 was.
Verveeld/hekel aan school, en afleiding zoeken door baldadig en destructief gedrag.
En omringd door vrienden met dezelfde mentaliteit.
Het was bijna een competitie wie de ergste streken uit kon halen.

Er was op mijn school een systeem waarbij scholieren konden inloggen met hun gebruikers naam/wachtwoord. Ik had daar mee gesjoemeld door al die data te verzamelen.
Niks mee gedaan, maar herken het gedrag van deze scholier.

Ik zie erg veel.boze reacties in de comments hier. Maar is er echt persoonlijk leed?
Nou, mijn dochter zit op de betreffende school en is dus "slachtoffer" geworden. In de brief die richting ouders gegaan is wordt uitgelegd welke info allemaal online gezet is, en dat is niet mis. NAW gegevens, telefoonnummers en mailadressen van zowel scholieren als ouders.

Én wat het meest erge is, eventuele bijzonderheden/kenmerken omtrent een kind (aanduiding in één woord). Dat kan natuurlijk van alles zijn, in de brief wordt bv. "dyslexie" als voorbeeld aangehaald. En... nu moet ik gaan gokken, maar ik kan mij ook voorstellen dat ook bepaalde medicatie hier genoemd kan worden. En dat is behoorlijk ernstig...
Het bron artikel zit achter een paywall dus dat heb ik niet kunnen lezen maar de publicatie op discord, dat zeg niet veel. Wat een een private discord met die andere student, of was het een discord met veel andere gebruikers (met het risico op verder uitlekken van de gegevens), en waren daar ook mensen van buiten de school bij.


Weet jij daar toevallig meer over @Question Mark?

[Reactie gewijzigd door jeanj op 28 januari 2022 17:03]

Letterlijk uit de verzonden brief:
De leerlingen hebben deze gegevens op of rond 17 januari 2022 gepubliceerd op Discord, een extern
internetplatform dat toegankelijk is voor mensen die daarvoor worden uitgenodigd. Op dit platform was
deze data een aantal dagen toegankelijk. We weten inmiddels dat enkele leerlingen actief de link naar dit platform gedeeld hebben met andere leerlingen op school. Wij weten niet hoe groot de groep gebruikers is geweest, maar wij gaan uit van een kleine groep. We kunnen niet uitsluiten dat de geplaatste gegevens in handen zijn gekomen van externen die hier misbruik van kunnen maken.
Het heeft een paar dagen online gestaan op discord lijkt het. Maar wél benaderd en men weet dus eigenlijk niet of de data ook nog verder verspreid is.
Je weet niet waar die data allemaal terecht is gekomen. Wat als die ineens op een site als pastebin opduikt? Dan ben je in één klap te doxen... Om nog te zwijgen over de medische informatie.
Dat soort dingen kunnen inderdaad uit verveling gebeuren, daar herken ik mezelf ook wel in.
Maar data van 1150 leerlingen klakkeloos verspreiden? Dat is wel behoorlijk ernstig. Dat doe je niet zomaar even uit verveling.
Een wachtwoord achterhalen is 1 ding. Dat vervolgens misbruiken om privé informatie van 1000+ mensen in te zien is een ander.
Maar dit ook nog eens op Discord plempen? Dat gaat toch echt veel te ver.

Afstraffen die handel.
Afstraffen die handel.
Het zal wel weer niet mogen, maar ik zou persoonlijk kijken of niet alles van hem online te zetten is. Wat spyware op z'n eigen devices zetten, en dan alles "lekken".
Oog om oog wraakacties zijn zelden een goed idee op zo’n schaal
Een enorme dick-move van de scholier. Als goed gebaar krijg je van de docent zijn laptop te leen en vervolgens dit vertrouwen zo te misbruiken. Op basis van dit bericht kan ik niet zo 1,2,3 bepalen waar het precies mis is gegaan. Welke login gegevens had de scholier precies? Die van een 'gewone' docent of die van een systeembeheerder? En dan natuurlijk het rechten-beheer van de laptop tot aan het online platform. Dit was niet een zaak van enkel zwakheden verkennen maar deze ook meteen uitbuiten. Dat laatste is gewoon crimineel, daar mag justitie zeker werk van maken.
Op basis van dit bericht kan ik niet zo 1,2,3 bepalen waar het precies mis is gegaan.
Bij de opvoeding van het kind in kwestie dat moge duidelijk wezen. Hopelijk doet de school ook gewoon aangifte tegen de leerling in kwestie. Echt een rotstreek naar iemand die je probeert te helpen.
Scholieren in de pubertijd halen zelfs met een 'goede' opvoeding extreem gekke dingen uit. Dat is juist het hele ding met de pubertijd.

Kortzichtige reactie dus.
Natuurlijk kunnen pubers de gevolgen van hun handelen minder goed overzien en hun impulsen minder goed beheersen dan volwassenen maar dit is niet een gevalletje teveel drinken, of onveilig vrijen of in het verkeer oordopjes dragen ofzo.

Keylogger installeren > credentials die je krijgt misbruiken > gegevens stelen > gegevens openbaar maken.

Dat zijn dingen waar tijd tussen zit en waarvan echt wel gelegenheid is geweest om na te denken over de gevolgen.

Pubers zijn nog in ontwikkeling maar niet helemaal achterlijk hè.

Ik vind jouw reactie nogal kortzichtig.
Scholieren in de pubertijd halen zelfs met een 'goede' opvoeding extreem gekke dingen uit. Dat is juist het hele ding met de pubertijd.

Kortzichtige reactie dus.
Ja laten we alle domme acties maar onder "de pubertijd" schuiven.

Wat een onzin, je mag toch hopen dat de scholier tijdens de opvoeding c q. aan de eetkamertafel, gesprekken heeft waarbij je toch iets van een ethisch en moraal kompas kweekt.

Ik kijk er niet raar van op, tijdens de coronatijd is mij wel duidelijk geworden hoeveel mensen overal schijt aan hebben.
ZO mee eens, vooral de laatste regels..
Pubertijd = de tijd dat je puber bent, gebruik zou ik afraden omdat het verwarrend is (in de reactie waar je op reageert kan het opzich, in jouw reactie eigenlijk niet)
Puberteit = het zijn van een puber
Tijdens of door de coronatijd? Behalve de algemene geestelijke belasting van de pandemie zelf en de maatregelen die ertegen zijn geprobeerd te nemen, zeker ook voor scholieren, is er genoeg gebeurd dat niet klopt of ogenschijnlijk niet klopt waardoor ook brave burgers eerder schijt krijgen aan dingen.

[Reactie gewijzigd door mae-t.net op 29 januari 2022 01:45]

Er is kortzichtige dingen uithalen en er is zwaar criminele dingen uithalen.

Sommige dingen kijk je bij scholieren niet van op, ondanks dat het illegaal is volgens de wet. Maar een keylogger installeren op een laptop die je van iemand geleend krijgt is een heel ander verhaal. Daar moet je bewust en uitgebreid naar op zoek en vervolgens ook het zo configureren dat jij de gegevens terugkrijgt.

Dat is niet 'slechts iets puberaals'
[quote]
Die gegevens waren onder andere namen, adressen, telefoonnummers en e-mailadressen van zowel leerlingen, ouders als het personeel van de lokale school. Ook gevoelige informatie zoals bijvoorbeeld leerstoornissen, werd buitgemaakt.
[/quote]Wat doet zulke data op een LOKALE PC ?

EDIT : Te snel gelezen/gereageerd

[Reactie gewijzigd door OxWax op 27 januari 2022 18:12]

Ziet er vooral naar uit dat je als leraar niet aardig voor leerlingen moet zijn omdat je stank voor dank krijgt.
Een laptop die je voor gegevens gebruikt waar anderen niets mee te maken hebben kun je hoe dan ook beter niet uitlenen aan die personen. De stank voor dank gaat dus net zo goed op voor de slachtoffers die vertrouwen in de verwerkers hebben om zorgvuldig met de toegang naar hun gegevens om te gaan.
Als je iemand een potje suiker leent en die de volgende dag terugkrijgt, moet je dan ook aan vergiftiging gaan denken?

Dit is niet “er stond data op de laptop”, hij heeft een keylogger erop geïnstalleerd.

Mogen leerlingen ook niet ongesuperviseerd naar de WC? Ze zouden er een camera kunnen monteren.

Dit is echt ver over de schreef van die leerling.

Als er een mapje “geheim” op de desktop stond en hij had dat geopend, dat is 1 ding. Actief spyware installeren is een behoorlijk aantal stappen verder.

Het verschil tussen met en zonder “voorbedachte rade”, om precies te zijn.

[Reactie gewijzigd door Keypunchie op 27 januari 2022 18:27]

Alleen is er voor bescherming van persoonsgegevens die je voor anderen verwerkt extra wetgeving die je verplicht niet zomaar te grabbel te gooien omdat je een ander wil helpen met een probleem waar ook andere oplossingen voor zijn.
Het maakt niet uit of er data op de laptop zelf stond, de laptop waarvan je geen idee hebt of je die nog veilig kan gebruiken kun je niet zomaar verder gaan gebruiken. Een ander graag willen vertrouwen is niet snel een redelijk excuus als je zulke verplichtingen naar anderen hebt die je wettelijk in vertrouwen nemen om juist zorgvuldig en voorzichting te zijn. Hoe is het dan redelijker om meer belang te hechten aan het uitlenen dan opkomen voor al die andere leerlingen die nu geen enkele controle meer hebben over hun gegevens en dus niet op die verwerkers kunnen vertrouwen terwijl ze afhankelijk zijn?
Welk vermoeden zou de leraar moeten hebben dat de laptop niet meer re vertrouwen was?

Ze heeft een laptop aan een aan haar bekende leerling uitgeleend, niet voor eigen gewin. Dat valt volledig onder ‘ter goeder trouw’.

Bij een vorige werkgever hebben we eens een keer een stagiair gehad die een ter beschikking gestelde laptop had doorverkocht (lol).

Dat is risico van ter goeder trouw. Mensen doen wel eens iets anders dan je had verwacht.

Maar als ‘lener’ zijn we niet verantwoordelijk voor dat misbruik. Dat is de dader. Daarna hebben we echt niks veranderd aan ons beleid voor stagiairs.

Het is wel verstandig om naar protocollen rondom informatiedragers te kijken, maar alsjeblieft, laten we vooral een samenleving zijn waarin docenten hun studenten vertrouwen geven. En niet een paranoia-samenleving waar vanwege evidente en ongebruikelijke misdragingen van kwaadwillende we de goedwillende mensen van deze aardbol gaan kruisigen.

[Reactie gewijzigd door Keypunchie op 27 januari 2022 18:50]

Zoals ik al stel: de wet stelt eisen om de gegevens van anderen veilig te houden. Dus kan je hoe dan ook die laptop die je gebruikt voor toegang niet zomaar gaan uitlenen aan anderen die de beveiliging kunnen verzwakken en er hoe dan ook niet zomaar mee te vertrouwen zijn.
En als je dat risico dan toch wil nemen, dan kun je dus al niet zomaar stellen dat als de verwerker niet eens weet of die de laptop nog wel kan vertrouwen dus maar blijft gebruiken alsof die nog wel te vertrouwen is.
Je kunt het met de wetgeving niet zomaar gaan omdraaien dat je liever vertrouwen hebt, ook niet uit onwetendheid. Juist omdat anderen afhankelijk zijn van de gevolgen, wat maar weer blijkt.
Als we jouw voorstel volgen zouden scholen elk stuk electronica wat ooit in handen is geweest van een leerling daarna in de shredder moeten gooien. Ik vind het (uit milieuoogpunt) al onbegrijpelijk dat alle atleten die naar China gaan straks hun burner phones vernietigen (als zo'n maatregel nodig is, dan had China nooit tot gastheer verkozen mogen worden), maar jij wilt dit ook op scholen toe gaan passen? Heb je enig idee hoeveel apparatuur er dan dagelijks vernietigd zou moeten worden?

Je zou het aan een rechter moeten vragen om het zeker te weten, maar ik kan me niet voorstellen dat de AVG, in het kader van "veilige verwerking", vereist dat apparatuur die je ooit een keer uit handen gegeven hebt daarna nooit meer gebruikt mag worden voor toegang tot persoonsgegevens. Als we zó paranoïde moeten zijn vraag ik me af welke apparatuur we volgens jou wel mogen gebruiken? Het is al een paar keer voorgekomen dat electronica die gloednieuw uit de doos kwam al met malware besmet was.
@robvanwijk dat is geen juiste conclussie. Het gaat volgens het nieuws om de laptop van een docent. Dat is niet even zomaar een systeem dat geschikt is om uit te lenen. Net zo min als een willekeurig systeem dat door iedereen gebruikt kan worden dus zomaar geschikt is om gevoelige gegevens zoals persoonsgegevens van anderen mee te gaan verwerken omdat het handig is.
Het gaat volgens het nieuws om de laptop van een docent. Dat is niet even zomaar een systeem dat geschikt is om uit te lenen.
Maar als het om een ander soort electronica gaat geldt precies hetzelfde. Stel dat een school wil voorkomen dat (ouders van) leerlingen op kosten worden gejaagd en ze daarom niet zelf een grafische rekenmachine laat kopen, maar ze (net als de schoolboeken) uitleent. Het eerste jaar gaat dat goed, daarna komen die machines terug... en dan? Als we jouw redenatie volgen, kun je ze nooit meer ergens anders voor gebruiken. Als we ze het volgende jaar aan andere leerlingen uitlenen, kunnen we dan met absolute zekerheid (dat lijkt de maatstaf te zijn die jij hanteert) garanderen dat die nieuwe leerling geen persoonsgegevens intypt? Of, de rekenmachine aan een computer verbindt, die daardoor (in theorie) geïnfecteerd zou kunnen raken met malware?
Net zo min als een willekeurig systeem dat door iedereen gebruikt kan worden dus zomaar geschikt is om gevoelige gegevens zoals persoonsgegevens van anderen mee te gaan verwerken omdat het handig is.
Dus in alle internetcafe's (bestaan die nog??) en bibliotheken hangt bij elke computer een bordje dat je er geen enkele vorm van persoonsgegevens mee mag verwerken (en dus ook niet mee mag inloggen op je email... wat zo ongeveer het enige doel van die machines is)?

Daarnaast vergeet je antwoord te geven op de laatste vraag uit mijn vorige post: zou je hetzelfde gereageerd hebben als dit was gebeurd met een gloednieuwe laptop waarop de malware niet was geïnstalleerd door een leerling, maar door een stel criminelen die erin geslaagd zijn om het imaging proces in de fabriek te besmetten?

Wat ik (en anderen) proberen duidelijk te maken is dat er een verschil is tussen roekeloosheid (een computer ingelogd laten op een systeem met gevoelige data en dan weglopen om te gaan lunchen) en het nemen van redelijke-maar-niet-waterdichte voorzorgen (zoals een laptop waarop, voor zover ik uit het artikel af kan leiden, geen gevoelige gegevens stonden, maar die (nadat ie uitgeleend is geweest) gebruikt wordt voor toegang tot gevoelige gegevens).
Op een gegeven moment moet je ergens een grens trekken wat nog realistisch is. Stuxnet kreeg het voor elkaar om een air-gapped, zeer zwaar beveiligd complex binnen te komen. De voorloper ervan (die als verkenner werd gebruikt) kon datzelfde complex niet alleen binnendringen maar ook informatie weer naar buiten krijgen. Ik denk dat we uit dat voorbeeld wel af mogen leiden dat perfect waterdichte beveiliging niet bestaat, zeker niet met het eindige budget van een school.
De oplossing is natuurlijk 2FA; niet het niet uitlenen danwel vernietigen van de gebruikte hardware.

Overigens vind ik dit vanuit het oogpunt van de docent wel een geval van "te goeder trouw". De docent had niet hoeven verwachten dat hij 2FA nodig had om in dit geval de gegevens veilig te houden.

Maar aan de andere kant is het gebruik van 2FA voor systemen met bijzondere persoonsgevens (zoals leerstoornissen) in het algemeen wel wenselijk.
Die eisen zijn aan voldaan, zolang ze geen wachtwoorden heeft gegeven aan de leerling. Van een niet-IT’er kan niet worden verwacht dat ze zich tegen deze vorm van ter kwader trouw wapenen.

Als de leerling een camera op haar werkplek had gehangen, en zo had gespioneerd was hetzelfde gebeurd.

Op zijn best kan de school/IT-afdeling wat worden verweten (een malware-besmetting kan op allerlei manieren gebeuren), maar niet de individuele docent.
@Keypunchie waaruit blijkt volgens jou dan uit de wet dat geen wachtwoord geven voldoende zou zijn of dat een niet-ITer niet hoeft te worden verwacht dat die de gegevens beter zou beschermen?

Daarbij klinkt het al niet als een redelijk uitgangspunt bij de wet die je verplicht om andermans persoonsgegevens te beschermen. Het uitgangspunt is juist niet om zo min mogelijk te doen en zeker niet dat een verwerker zich gaat verschuilen achter onwetendheid of liever vertrouwen hebben in personen die geen recht en taak hebben de gegevens zorgvuldig te verwerken.

Verder ben ik benieuwd waarom je meent dat de docent wat jou betreft niets verweten kan worden, want die heeft namelijk net zo goed verantwoordelijkheid om de persoonsgegevens goed te beschermen. Dat het waarschijnlijk mede onder verantwoordelijkheid van de werkgever is doet er niets aan af dat de docent verantwoordelijkheid heeft om te beschermen.
De docent is in deze domweg geen beheerder persoonsgegevens, zelfs geen verwerker.

Ze staan in een systeem van derden en de laptop is incidenteel aan de overtreding (het had ook op andere manieren gekund)

Het domweg uitlenen van een laptop is achteraf onverstandig, maar niet een ‘a priori’ laakbare handeling.

Het is immers nogal buitengewoon dat iemand anders er spyware op zet. Als jij het vanzelfsprekend vind dat dat is wat je met een geleende laptop doet, zegt dat vooral iets over jou.
@Keypunchie Ik stel op geen enkele manier dat de docent niet onder verantwoordelijkheid de werkgever zou handelen. Maar dat wil niet zeggen dat een docent dus zomaar anderen met gebruik mag vertrouwen. Dat heeft er niets mee te maken dat je mensen niet wil vertrouwen, maar dat het in het geval van persoonsgegevens gewoon niet zomaar mag.
Doe je dat wel, dan kies je er kennelijk voor dat je die bescherming van de studenten dus kennelijk niet zo belangrijk lijkt te vinden om liever een student te helpen? Hoe help je daar al die studenten en de docent mee uit de problemen te blijven?
Maar hoe had hij die laptop gegeven?

Als hij die had gegeven terwijl zijn account nog stond ingelogd (of zelfs zijn wachtwoord had gegeven) dan had de leerling al toegang tot alles in zijn account.
Waarom zou je een leerling daarmee vertrouwen?

En stel dat de docent alleen het apparaat had uitgeleend en de leerling met zijn eigen account is ingelogd.
Hoe kan het dan zijn dat die leerling er vanalles op kan installeren?
Hoort de IT afdeling dit niet te beveiligen?

En de school heeft de verantwoordelijkheid om gegevens goed te beveiligen.
Te goeder trouw past daar gewoon niet bij.
edit: <ik heb mijn aanbeveling voor tooltjes maar even ingetrokken ;)> Windows password alleen is nauwelijks een barriere.

[Reactie gewijzigd door ErwinPeters op 27 januari 2022 21:17]

Deze leerling heeft waarschijnlijk onder valse voorwendselen een laptop geleend met als kennelijk oogmerk hiermee toegang te verschaffen tot het netwerk

Of had hij toevallig een USB stick met malware op zak denk je?

Dit is gewoon crimineel gedrag waarbij je van de school niet meer mag verwachten de basis in beveiliging op orde te hebben. Daarmee komt de school voldoende op voor de rechten van zijn leerlingen en heeft deze hufter alle schuld dat dat de school niet gelukt is doordat er misbruik van ze gemaakt is
"op slinkse wijze", "hetzij door listige kunstgrepen, hetzij door een samenweefsel van verdichtsels". "Hij die, met het oogmerk om". Verwijs maar gewoon naar 326sr ;)

Ik denk dat de ovj voor 138ab gaat:

Artikel 138ab

Met gevangenisstraf van ten hoogste zes maanden of geldboete van de derde categorie wordt, als schuldig aan computervredebreuk, gestraft hij die opzettelijk wederrechtelijk binnendringt in een geautomatiseerd werk voor de opslag of verwerking van gegevens, of in een deel daarvan, indien hij
a. daarbij enige beveiliging doorbreekt of
b. de toegang verwerft door een technische ingreep, met behulp van valse signalen of een valse sleutel dan wel door het aannemen van een valse hoedanigheid.
Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk, indien de dader vervolgens gegevens die zijn opgeslagen in een geautomatiseerd werk waarin hij zich wederrechtelijk bevindt, overneemt en voor zichzelf of een ander vastlegt.
Met gevangenisstraf van ten hoogste vier jaren of geldboete van de vierde categorie wordt gestraft computervredebreuk gepleegd door tussenkomst van een openbaar telecommunicatienetwerk, indien de dader vervolgens
a. met het oogmerk zich wederrechtelijk te bevoordelen gebruik maakt van verwerkingscapaciteit van een geautomatiseerd werk;
b. door tussenkomst van het geautomatiseerd werk waarin hij is binnengedrongen de toegang verwerft tot het geautomatiseerd werk van een derde.

edit: en deze maar daar kon ik even niet op komen:

art. 139g sr:
1. Met gevangenisstraf van ten hoogste een jaar of geldboete van de vierde categorie wordt gestraft degene die niet-openbare gegevens:
a. verwerft of voorhanden heeft, terwijl hij ten tijde van de verwerving of het voorhanden krijgen van deze gegevens wist of redelijkerwijs had moeten vermoeden dat deze door misdrijf zijn verkregen;
b. ter beschikking van een ander stelt, aan een ander bekend maakt of uit winstbejag voorhanden heeft of gebruikt, terwijl hij weet of redelijkerwijs moet vermoeden dat het door misdrijf verkregen gegevens betreft.

2. Niet strafbaar is degene die te goeder trouw heeft kunnen aannemen dat het algemeen belang het verwerven, voorhanden hebben, ter beschikkingstellen, bekendmaken of gebruik van de gegevens, bedoeld in het eerste lid, vereiste.

[Reactie gewijzigd door ErwinPeters op 27 januari 2022 21:02]

Wist het artikel even niet meer uit mijn hoofd _/-\o_
Dit is gewoon crimineel gedrag waarbij je van de school niet meer mag verwachten de basis in beveiliging op orde te hebben. Daarmee komt de school voldoende op voor de rechten van zijn leerlingen en heeft deze hufter alle schuld dat dat de school niet gelukt is doordat er misbruik van ze gemaakt is.
De wet stelt juist niet dat basismaatregelen maar voldoende zijn, maar dat je de persoonsgegevens hoe dan ook voldoende hoort te beschermen. En voldoende is dan niet we doen maar wat een basis voor welke omstandigheid dan ook is, maar dat het voldoende is bij de te verwachten omstandigheden. Na meer dan 30 jaar aan computervirussen (die vanaf het begin vooral al via een draagbaar medium wisten te verspreiden), dat anti-virus en andere software je niet zomaar zal beschermen, dat je willekeurige personen hoe dan ook niet zomaar hoort te vertrouwen als je gegevens van anderen hoort te beschermen, dat studenten met regelmaat proberen te doen wat ze zelf belangrijker of leuker menen vinden en een laptop van een docent niet zomaar bedoeld is om uit te lenen, dan klinkt de basis als dat men er juist rekening mee had moeten houden dat dit uitlenen eerder onvoldoende zou zijn.
Dus omdat er een paar hufters rondlopen moeten we ons tegen de klippen op beveiligen, en een samenleving gebaseerd op wantrouwen creëren.

De basis beveiliging is er gewoon ook in privacybeleid. Hufters die willens en wetens het vertrouwen schaden verkloten het daarmee voor anderen en maken de samenleving minder prettig. Stop blaming the victim and start shaming the crime
Omdat je de plicht hebt om andermans persoonsgegevens te beschermen kun je een laptop die niet voor uitlenen bedoeld is niet zomaar uitlenen of daarna nog zomaar blijven gebruiken.
Dat hij daar niet voor bedoeld is is een aanname. Als je er speciale software op moet installeren om het netwerk in te komen is er wel met aan de hand dan het verkeerde apparaat in de verkeerde handen
Hackt laptop Friese docent na lenen, wat is er da een onredelijke aanname aan dat die laptop voor de docent is? Dan alsnog liever aannemen dat een laptop wel bedoeld is om uit te lenen is in het voordeel van wie?
Dat is erg kort door de bocht. In plaats van lenen had de leerling ook over de schouder mee kunnen kijken of een camera op kunnen hangen. De persoonsgegevens staan bovendien niet op de laptop maar zitten achter een login op het netwerk. Omdat er ook bijzondere persoonsgevens achter die login zitten, was het beter geweest om er een 2FA van te maken. Hoe dan ook, had de leerling kennelijk malware nodig om zijn doel te bereiken. Zo slecht beveiligd waren die persoonsgevens dus ook weer niet. Ik zie 3 verbeterpunten, maar misschien zijn er meer:

1) leerling formatteren en opnieuw installeren
2) 2FA implementeren
3) betere malwarebeveiliging op de laptops installeren (want hoe kwam die keylogger er zomaar op?)
3a) beperkt guestaccount op de laptops installeren

[Reactie gewijzigd door mae-t.net op 29 januari 2022 01:32]

Het gaat er niet om wat misschien nog meer zou kunnen wat ook niet zomaar mag gebeuren, maar wat er gedaan is.
Denk dat je vooral je eigen laptop niet moet uitlenen. Het volgende punt is als je alleen je eigen laptop kan uitlenen, je dat niet moet doen. Vervelend maar de leerling/student heeft zichzelf in dat parket gebracht. Nu wordt je verguisd omdat iemand dat willens en wetens gedaan heeft. Hij had niet voor niets hacktools meegenomen.

Tevens is dit meer social hacking wat vrijwel niet te voorkomen is omdat de meeste mensen aardig gevonden willen worden. Wie zijn billen brandt moet op blaren zitten en door aardig te zijn moet de docent en de organisatie nu helaas zelf op die blaren zitten.

Wel denk ik dat tweefactorauthentificatie dit waarschijnlijk voorkomen had. Het is vervelend maar dit soort gevallen laat zien dat ook kleinere organisaties veel veiligheidsmaatregelen moeten treffen en de expertise vaak missen om het helemaal goed te doen.
Wel denk ik dat tweefactorauthentificatie dit waarschijnlijk voorkomen had.
Of gewoon überhaupt authenticatie voor het installeren van software? Ik heb nooit iets met keyloggers gedaan maar het zou me verbazen als me dat op mijn eigen laptop lukt zonder mijn wachtwoord in te vullen.

Niet dat dat waterdicht is want een browser-plugin o.i.d. installeren zal wel lukken zonder wachtwoord, maar dat lijkt op basis van dit bericht niet wat er gebeurd is.

[Reactie gewijzigd door bwerg op 27 januari 2022 19:05]

Er zijn kant-en-klare USB-sticks met rootkit. In een laptop steken en klaar.
Nou ben ik al een hele tijd niet meer op windows geweest (waar dit verhaal, naar ik aanneem, over gaat), maar naar mijn weten staat het automatisch uitvoeren van executables al tijden niet meer standaard aan.

Een rootkit doet weinig als 'ie niet wordt uitgevoerd.

[Reactie gewijzigd door bwerg op 27 januari 2022 19:29]

Klopt, maar er zijn usb's die keyboarden kunnen emuleren en bepaalde acties uitvoert, met b.v. win + r, powershell, download en open.
Heeft geen invloed op een goed ingestelde laptop... maat zou deze leerling niet te streng straffen is handige jongen die zijn kennis beter moet leren gebruiken
Misschien leuk om te weten en eens te proberen:
Met Windows kan je (mits BitLocker uit staat) het programma sethc (plaktoetsen) vervangen door cmd. Vervolgens kan je in het loginscherm door 5x op shift te drukken een command prompt openen en lokale accounts manipuleren. Het verkrijgen van een administrator account is kinderspel zo erg makkelijk. :P

[Reactie gewijzigd door MOOS op 27 januari 2022 20:27]

Als niet-Administrator?
Ja, het gaat zo:
1. Start op van Windows installatie media, een USB-stick bijvoorbeeld
2. Druk op Shift + F10 om command prompt te openen
3. Vervang sethc.exe (plaktoetsen) door cmd.exe en reboot de machine
4. Druk in het loginscherm 5x op shift en je hebt cmd met admin

Dit werk op alle standaard Windows installaties. Het is daarom heel belangrijk om BitLocker te configureren.
Er staat niet dat deze gegevens op de laptop stonden, alleen dat hij toegang kon krijgen tot gegevens van de lokale gemeenschap. Het is dus ook mogelijk (en veel waarschijnlijker) dat er logins buit zijn gemaakt met behulp van bv een keylogger.

Edit:
De leerling, en een andere betrokken student, werden geschorst.
Ik mag toch hopen dat dit niet alleen maar een schorsing blijft. Een beetje fatsoenlijke taakstraf of een 'interventie' van slachtoffers van identiteitsfraude zou wel op z'n plaats zijn.

[Reactie gewijzigd door Lanfear89 op 27 januari 2022 18:14]

Is niet eens nodig hoor. Ik heb in mijn tijd (12 jaar geleden) ook gegevens van de hele school 'buitgemaakt', waaronder NAW, telefoonnummers, pasfoto's en meer. Bij de verkoop van uitgefaseerde hardware aan docenten en ict-hulpkrachten (waar ik onder viel), had ik onder andere een harde schijf gekocht. Daar stond al die informatie nog gewoon op. Heb er uiteindelijk niks mee gedaan; alleen als grap een oude pasfoto van een docent gebruikt in een presentatie.
Heb er uiteindelijk niks mee gedaan
Dat zit het verschil hem dan ook in. Als je bij toeval iets ziet, of een lek ontdekt en dat meldt, dan is dat wat anders dan als je de buitgemaakte gegevens gaat delen, en daarmee misschien wel schade berokkent aan je klasgenoten.
Er is nogal een groot verschil tussen 'er stond nog oude data op een harde schrijf die ik overnam' en 'even wat malware op de laptop zetten zodat ik gegevens buit kan maken'.
Het enige wat nog netter was geweest was als je het lek had gemeld. Dat is op geen manier te vergelijken met wat deze jongen heeft uitgehaald. Er was gewoon kwade opzet in het spel en de schade is een stuk groter.
12 jaar geleden was dit nog niet zo'n item ...

Dit is niet eens hacken, dit is gewoon moedwillig een overtreding begaan ( computerfraude )
En buiten de schorsing, moet dat ook als zodanig bestraft worden.

Met pappen, bolletjes aaien en foei kom je er niet meer mee.

Het bron artikel is ook lekker duidelijk .... 2 regeltjes, en dan mag je eerst betalen ..
12 jaar geleden was het misschien nog niet zo'n item in de media, maar ook doen was je voor zo'n grap gewoon fatsoenlijk gestraft. Ik ben ik principe geen voorstander van strafinflatie. Dat werkt alleen averechts. Maar dit was 12 jaar geleden net zo strafbaar als nu.
Wie zegt dat die data van de lokale pc komt?
Hij maakte van de gelegenheid gebruik om heimelijk software te installeren waardoor hij later toegang kon krijgen tot de gegevens van het toestel en van de lokale afdeling van de scholengemeenschap.
Keylogger installeren, inloggegevens misbruiken, klaar. Dit is ook waarom je MFA wilt op dit soort applicaties.
Zoals ik het lees heeft de betreffende student via de laptop credentials buit gemaakt waarmee hij de school systemen is binnen gekomen. De data hoeft dus niet op de laptop te staan
Beste, heb in het artikel verduidelijkt dat de leerling ook toegang had tot het online platform van de scholengemeenschap.
Te snel gereageerd mijnentwege. Had het gelezen in de bron na reactie :X
Eens, maar ook redelijk kansloos van de betreffende scriptkiddie.
Lokaal alsin "plaatselijk" neem ik aan...
Noemen we dit niet scholieren? Studenten volgen een HBO of Universitaire opleiding.
Mbo'ers studeren dus niet? :)
Volgens de Van Dale danwel een andere (strikte) definitie van het woord niet, nee :(
Los daarvan, het gaat hier om een Havo/VWO leerling.
Jawel die ook. Maar dit artikel gaat over middelbare scholierengemeenschap (VWO, Havo) en die worden toch echt niet studenten genoemd.
Maar daar reageer ik ook niet op maar op het feit dat jij een verkeerde uitspraak doet, namelijk
"Studenten volgen een HBO of Universitaire opleiding."

Het had moeten zijn:
Studenten volgen een MBO, HBO of Universitaire opleiding.
Officieel is de term "Leerlingen" in het VO. MBO en hoger "Studenten".
(..) om een schoolopdracht te maken en dit omdat hij zijn eigen toestel niet mee had.
In mijn tijd kreeg je gewoon een dikke 0 omdat je de benodigde spullen niet bij had.

Na één keer leerden de meesten het af. En de enkelen die daarin hardleers waren, gingen van school af :)

Voordat andere tweakers hier tegen in gaan:
In de grote-mensen-wereld is dit toch niet anders? Je hebt niets aan een loodgieter, timmerman en schilder als die naar je toe komen zonder het juiste correct-werkende gereedschap. Een developer is zonder development-omgeving nergens. Een pentester zonder de juiste tooling en hardware zoals usb-stickjes ook niet.
nou, z'n tooling was wel in orde
Na er wat over nagedacht te hebben, denk ik dat de leraar hier geen blaam treft, maar de IT afdeling van de school. Scriptkiddie had namelijk helemaal geen installatierechten mogen hebben en gewoon met een gastaccountje moeten inloggen. Als dit geavanceerdere software is die daar om heen werkt, dan is het de vraag hoe hij daar aan is gekomen. Het is sowieso een bewuste actie geweest en ik vraag me af of alleen schorsen daar wel de juiste sanctie voor is.
Dit heeft waarschijnlijk niets met hacken te maken.
Leraar heeft met zijn domein account in Firefox alle logins gewoon opgeslagen.
Het enige dat de student hoeft te doen is Firefox openen en naar de school website gaan , of beter naar de wachtwoorden kluis.
Lezen is lastig:
Hij maakte van de gelegenheid gebruik om heimelijk software te installeren waardoor hij later toegang kon krijgen tot de gegevens van het toestel, van de lokale afdeling van de scholengemeenschap en tot het online platform van de scholengemeenschap.
Dan nog hoort er MFA op een online omgeving te staan -> IT afdeling. Soit, er stond dan ook nog eens malware op de laptop ook. Lijkt me genoeg reden om over hacking te spreken;

[Reactie gewijzigd door Yoshi op 27 januari 2022 19:24]

Je kunt regels maken wat je wilt, maar als de leraar zijn laptop met z'n (ingelogde account) aan een leerling geeft, kun je als IT afdeling ook niks.

De IT afdeling kan niet ruiken dat iemand anders achter de PC zit, dus ook niet opeens verplicht een gastaccount toeschuiven.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True