Bestanden verzonden met SURFfilesender waren inzichtelijk voor onbevoegden

Onbevoegden konden bijna een jaar lang bij bestanden die met SURFfilesender verstuurd werden. De dienst blijkt een beveiligingslek te bevatten, waarschuwen SURF en de Hogeschool Utrecht. Er zijn in ieder geval vijfhonderd HU'ers door het lek getroffen.

SURFfilesender is een dienst van SURF waarmee gebruikers veilig en versleuteld bestanden kunnen versturen. Tussen 21 november 2023 en 14 oktober 2024 was het echter mogelijk om toegang te krijgen tot bestanden van andere gebruikers, meldt Trajectum, het online magazine van de Hogeschool Utrecht. Dit was alleen mogelijk voor andere mensen die SURF gebruiken voor hun opleiding of werk en wanneer de gebruiker geen bestandsversleuteling had ingeschakeld.

Die versleuteling staat niet standaard ingeschakeld, omdat dit erg veel geheugen kost, zegt een woordvoerder van SURF tegenover Trajectum. "De versleuteling en ontsleuteling van een bestand vindt plaats in het geheugen van de browser van de gebruiker. Dat geheugen is beperkt en maximaal 2GB per bestand", legt de woordvoerder uit. "Maar via SURFfilesender kun je ook veel grotere bestanden versturen. Door automatisch die versleuteling aan te zetten, zou dat niet meer kunnen."

Het lek kwam aan het licht bij een penetratietest, die SURF eens per jaar laat uitvoeren door een externe partij. Of er bestanden gestolen zijn, is onduidelijk. SURF kan alleen tot 27 september 2024 terugkijken en heeft tot dat moment niets gevonden. Of er vóór 27 september 2024 bestanden zijn ingezien door onbevoegden blijft daardoor onduidelijk.

Van zo'n vijfhonderd HU'ers - 183 studenten en 327 werknemers - kon achterhaald worden dat zij zonder bestandsversleuteling bestanden hebben verstuurd via SURFfilesender. Zij zijn op 31 oktober per mail benaderd. Ook gebruikers buiten de HU die geen bestandsversleuteling hebben ingeschakeld, zijn door het beveiligingslek getroffen. Volgens Trajectum gaat het om verstuurde documenten van bijna 35.000 mensen, waarvan ongeveer tien procent zijn bestanden versleuteld heeft geüpload. De Hogeschool Utrecht en SURF hebben het lek gemeld bij de Autoriteit Persoonsgegevens.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 14-11-2024 14:38
34 • submitter: HKLM_

14-11-2024 • 14:38

34

Submitter: HKLM_

Lees meer

SURF en onderwijsinstellingen opnieuw getroffen door ddos-aanval
SURF en onderwijsinstellingen opnieuw getroffen door ddos-aanval Nieuws van 16 januari 2025
SURF en onderwijsinstellingen melden storing door ddos-aanval
SURF en onderwijsinstellingen melden storing door ddos-aanval Nieuws van 15 januari 2025
Autoriteit Persoonsgegevens: aantal datalekmeldingen daalt licht
Autoriteit Persoonsgegevens: aantal datalekmeldingen daalt licht Nieuws van 11 december 2024
SURF gaat Europese quantumcomputer in Amsterdam hosten
SURF gaat Europese quantumcomputer in Amsterdam hosten Nieuws van 22 oktober 2024
Snellius-supercomputer krijgt met Nvidia H100-uitbreiding 38 petaflops snelheid
Snellius-supercomputer krijgt met Nvidia H100-uitbreiding 38 petaflops snelheid Nieuws van 11 juli 2024
Scholen kunnen ChromeOS veilig gebruiken maar moeten zelf opties uitzetten
Scholen kunnen ChromeOS veilig gebruiken maar moeten zelf opties uitzetten Nieuws van 27 juni 2024
AP: onderwijs mag sociale media alleen inzetten na afspraken met bedrijven
AP: onderwijs mag sociale media alleen inzetten na afspraken met bedrijven Nieuws van 13 juni 2024
Zoom lost laatste privacyrisico's op voor gebruik in onderwijs
Zoom lost laatste privacyrisico's op voor gebruik in onderwijs Nieuws van 19 april 2024
SURF haalt 800Gbit/s-datasnelheid met netwerkverbinding tussen Amsterdam en CERN
SURF haalt 800Gbit/s-datasnelheid met netwerkverbinding tussen Amsterdam en CERN Nieuws van 15 april 2024
Meer producten en artikelen
Beveiliging en antivirus Onderwijs Security SURF

Reacties (34)

-Moderatie-faq
34
34
32
2
1
0
Wijzig sortering
Anonymoussaurus
14 november 2024 14:43
Tegenover Security.nl zegt SURF het volgende, als aanvulling op de pentest:
Via een in opdracht van SURF uitgevoerde penetratietest is een kwetsbaarheid geconstateerd in de configuratie van SURFfilesender. Via de test is naar voren gekomen dat andere geauthenticeerde gebruikers via een kwetsbaarheid oneigenlijk toegang konden verkrijgen tot bestanden van andere gebruikers. Na constatering is dit verholpen en uit recente logs is geen oneigenlijke toegang geconstateerd in de afgelopen periode.
Gelukkig tijdens mijn studententijd nooit gebruikt, en als ik het zou gebruiken natuurlijk encryptie inschakelen. Vergis je niet hoor; genoeg security & cloud studenten die hier totaal niet aan denken...

[Reactie gewijzigd door Anonymoussaurus op 14 november 2024 14:53]

locke960 @Anonymoussaurus14 november 2024 15:02
Ik zou me daar helemaal geen zorgen om maken omdat ik niet zou vertrouwen op de encryptie van het platform. Dat is iets wat je zelf moet doen, voordat je iets upload, en dan de sleutel apart naar de bestemming sturen.
DailySpecial @locke96014 november 2024 15:57
Dat is dan gelijk hoe de encryptie van SURFfilesender werkt. Encrypted in de browser Sleutel blijft bij jou en via een ander kanaal stuur je de sleutel naar de ontvanger.
locke960 @DailySpecial14 november 2024 16:03
werkt.
Dit artikel bewijst nou net het tegendeel :+
Sleutel blijft bij jou
Is dat zo? Omdat ze het zeggen? Ze zeggen ook dat ze het encrypten.
DailySpecial @locke96014 november 2024 16:08
Omdat ik het kan gebruiken...

Als je filesender downloadt. Jij ook trouwens

[Reactie gewijzigd door DailySpecial op 14 november 2024 16:08]

kuurtjes @locke96014 november 2024 17:08
Dit artikel bewijst nou net het tegendeel :+
Nee. Het artikel zegt dat het niet standaard is ingeschakeld en dat alleen ongeëncrypteerde bestanden toegankelijk waren.
CAPSLOCK2000
@locke96014 november 2024 20:16
Dit artikel bewijst nou net het tegendeel :+
Nergens blijkt uit dat de encryptie niet goed is.
Dat niet alle bestanden versleuteld zijn is een designkeuze.
Is dat zo? Omdat ze het zeggen? Ze zeggen ook dat ze het encrypten.
Dat zeggen ze helemaal niet tenzij je zelf encryptie aanzet.

Omdat in de browser werkt kun je het in principe helemaal controleren. Dat zal je wel bij ieder gebruik opnieuw moeten doen, maar het kan. Dat is beter dan de meeste concurrenten waar alles serverside gebeurt en je niks kan controleren.
Anonymoussaurus
@locke96014 november 2024 15:18
Idealiter wel idd (en dan de sleutel via OTS als self-hosted PrivateBin sturen met burn-after-read ingeschakeld), maar eigenlijk wil ik dat hele platform sowieso niet gebruiken, daarom heb ik dat ook nooit gedaan. ;) Ze gebruiken het trouwens ook als SSO-platform voor Canvas en dergelijke. ;)

[Reactie gewijzigd door Anonymoussaurus op 14 november 2024 15:28]

skimine @Anonymoussaurus14 november 2024 16:21
Bij bijvoorbeeld de UU is het een aanbevolen programma voor verzenden van bestanden. Daar staat gewoon bij dat het veilig is:
This tool is supported by Utrecht University and it safe to use. Your data will not be sold or used for other commercial activities. You can use your credentials from Utrecht University to log on to this service, your password will not be shared.
Hoewel er wel iets staat over de mogelijkheid van encryptie denk ik dat de meeste gebruikers daar niet bij stilstaan (of bestanden >2GB wil verzenden). Het gros van de gebruikers is echt niet zo technisch onderlegd, het is al heel wat als ze WeTransfer hebben ingeruild voor SURFfilesender.
CAPSLOCK2000
@skimine14 november 2024 20:21
Hoewel er wel iets staat over de mogelijkheid van encryptie denk ik dat de meeste gebruikers daar niet bij stilstaan (of bestanden >2GB wil verzenden). Het gros van de gebruikers is echt niet zo technisch onderlegd, het is al heel wat als ze WeTransfer hebben ingeruild voor SURFfilesender.
Doet WeTransfer uberhaupt aan client side encryption met een sleutel van de gebruiker?
Volgens mij niet, in ieder geval niet by default (maar ik ben geen expert).

Als je Filesender gebruikt zónder encryptie dan is het net zo veilig als WeTransfer.
Mét encryptie is het veiliger.
skimine @CAPSLOCK200014 november 2024 21:55
Ik heb geen idee wat de verschillen zijn tussen WeTransfer en FileSender als het gaat om verzending zonder E2E-encryptie. Er zijn wel andere redenen waarom FileSender wordt aanbevolen als alternatief voor WeTransfer:
This tool is supported by Utrecht University and it safe to use. Your data will not be sold or used for other commercial activities. You can use your credentials from Utrecht University to log on to this service, your password will not be shared.
wica @Anonymoussaurus14 november 2024 15:00
Maar mijn bestand is 2,2GB groot. Waarom niet buiten de browser om decrypten?
_WgV_ 14 november 2024 15:48
Dit is niet de enige recent ontdekte vulnerability in Filesender:
Unauthenticated SSTI bug in Filesender exposes MySQL & S3 credentials and other configuration variables

[Reactie gewijzigd door _WgV_ op 14 november 2024 15:48]

Jonathanbouman @_WgV_14 november 2024 16:02
Auteur van deze blog hier, SURF/Filesender handelde mijn melding trouwens goed af, complimenten daarvoor.

Belangrijk om te vermelden dat de gevonden fout, in de blog hieronder omschreven, er mogelijk al jaren in zat en voor S3 installaties unauthenticated toegang gaf tot files.

CVE-2024–45186: Unauthenticated SSTI bug in Filesender exposes MySQL & S3 credentials" https://medium.com/@jonat...ls-and-other-463a9efc1478

[Reactie gewijzigd door Jonathanbouman op 14 november 2024 16:40]

neographikal @Jonathanbouman14 november 2024 17:32
Om er dan nog een compliment aan toe te voegen, ik werk ook bij 1 van de universiteiten in de security: het is vervelend dat zo'n kwetsbaarheid optreedt maar zowel de aanpak als communicatie waren volgens het boekje. Keurig.
PsiTweaker 14 november 2024 14:42
Een dienst die vaak ( alleen maar ? ) gebruikt wordt om gevoelige data beveiligd over het internet te sturen, maar waarbij de versleuteling niet standaard is ingeschakeld !

Tja, hoe serieus kan men zo'n dienst dan nemen :+ .

Misschien is het aanzetten van de versleuteling voor ons ( techneuten ) een eitje, maar dit soort diensten worden o.a. ook gebruikt door niet technische mensen, die al blij zijn dat ze m.b.v. die dienst een bericht kunnen versturen, laat staan dat ze in instellingen moet gaan 'rommelen'.
 

[Reactie gewijzigd door PsiTweaker op 14 november 2024 14:47]

Het @PsiTweaker15 november 2024 09:27
Een dienst die vaak ( alleen maar ? ) gebruikt wordt om gevoelige data beveiligd over het internet te sturen,
Huh? Ik heb echt nog nooit iemand dit horen beweren voer filesender. Ik kan me niet voorstellen dat er erg veel "gevoelige" data verzonden wordt over filesender. Het blijft een academische dienst dus de meeste dingen die je deelt zijn vooral groot en log, niet per se gevoelig. Ik zet encryptie dus ook alleen maar aan als ik denk dat het nut heeft, wat in mijn geval neerkomt op nooit.
Paul @Het15 november 2024 10:21
Waarom niet? Het is de tool die SURF er voor aanbiedt aan hun klanten, waaronder ziekenhuizen. Ik ken een aantal ziekenhuizen waarbij alle WeTransfers van de wereld worden geblokkeerd en alleen SURFfilesender open staat.

Voor hen is het DE tool om dingen te verzenden die je niet wil mailen.
Het @Paul15 november 2024 11:39
Ik reageer vooral op "vaak ( alleen maar ? ) " deel. Ik denk dat er veel gebruik van gemaakt wordt voor het delen van data die je niet via email kan delen (omdat het groter is dan de gemiddelde SMTP server wil ondersteunen).

Iets in mij hoopt dat als je het bewust gebruikt om gevoelige data te verzenden, je het dan ook altijd versleutelt. Want als je dat niet doet dan had je het ook als attachment aan een mail kunnen hangen lijkt me. Maar ik weet oprecht niet of dat iets is waar men zich daar van bewust is.
wica @PsiTweaker14 november 2024 14:48
Tijdens transport is de data natuurlijk wel versleutelt. Zo ver ik dit lees, konden onbevoegde die toegang hadden tot de ontvangende computer ook de data lezen.
kodak
@wica14 november 2024 16:43
Wat is je punt dat ontvangende computers ook onveilig kunnen zijn?
CAPSLOCK2000
@PsiTweaker14 november 2024 15:36
Misschien is het aanzetten van de versleuteling voor ons ( techneuten ) een eitje, maar dit soort diensten worden o.a. ook gebruikt door niet technische mensen, die al blij zijn dat ze m.b.v. die dienst een bericht kunnen versturen, laat staan dat ze in instellingen moet gaan 'rommelen'.
Je hebt een punt, maar de keuze van filesender is begrijpelijk.

Die dienst is bedacht om grote bestanden te versturen, te groot om op andere manieren te doen, denk aan 200GB onderzoeksdata. Om dat in een browser te laten werken zijn er keuzes gemaakt. Alles encrypten heeft ook een nadeel, namelijk dat je bij iedere upload een nieuw wachtwoord moet aanmaken voor die upload en dat ergens gaan beheren.

Voor de duidelijkheid, er wordt gewoon gebruik gemaakt van https. De data gaat niet helemaal onversleuteld over internet, maar wordt niet versleuteld opgeslagen als de gebruiker daar niet om vraagt.
CAPSLOCK2000
14 november 2024 20:26
Omdat ik steeds dezelfde misverstanden zie terugkomen in de reacties:

Filesender communiceert altijd via versleutelde verbindingen.
Behalve de verbinding kun je ook de bestanden zelf versleutelen op een manier dat zelfs de beheerders van Filesender er niet bij kunnen. Het gaat dan dus om dubbele encryptie. Die dubbele encryptie staat by default uit want anders moet gebruiker bij iedere upload wachtwoorden gaan bijhouden.

Dat is volgens mij niet anders dan andere filetransfer diensten. Veel daarvan hebben helemaal geen mogelijkheid voor dubbele encryptie.
Bor Coördinator Frontpage Admins / FP Powermod
@CAPSLOCK200015 november 2024 15:28
Is dat zo? Veel diensten bieden ook gewoon user supplied passwords voor downloads aan waarbij het wachtwoord gebruikt wordt om de user key te genereren. Filesender is daar echt niet uniek in.
Bor Coördinator Frontpage Admins / FP Powermod
@CAPSLOCK200015 november 2024 15:32
Behalve de verbinding kun je ook de bestanden zelf versleutelen op een manier dat zelfs de beheerders van Filesender er niet bij kunnen. Het gaat dan dus om dubbele encryptie.
Niet echt in de vorm dat het hier niet noodzakelijkerwijs om double key encryption lijkt te gaan waar je op hint.

Transport beveiliging (middels bv TLS) is heel wat anders dan beveiliging en encryptie van bestanden in rust. Het een sluit het ander niet uit en beide "states" waarin de data zich kan bevinden kent zijn eigen dreigingen en oplossingen en specifieke protocollen.

TLS wordt bijvoorbeeld niet gebruikt voor encryptie van data at rest. Wanneer de data eenmaal aangekomen is bij de hoster beschermt TLS die data niet meer. Op dat moment is er dan ook geen dubbele encryptie meer tenzij de hoster zelf alle data encrypted opslaat en je als gebruiker hier nog een extra encryptie laag overheen gooit.

[Reactie gewijzigd door Bor op 15 november 2024 15:36]

Niet Henk 14 november 2024 15:33
Eens gekeken naar dit project voor data-uitwisseling binnen een internationaal onderzoek. Gelukkig ben ik snel afgeknapt.

Mijn redenen toen:

Het is een implementatie van het open source filesender programma (https://github.com/filesender). Dat heeft een goede API. Ze weigerden echter dat gebruikers de API mochten gebruiken, en middels je sessie token kon je alleen GET requests doen met de API.

Ze hebben gedurende de tijd dat ik het evalueerde een update doorgevoerd, waarna alle bestanden die verstuurd waren met encryptie niet meer toegankelijk waren. Support was daar toen laconiek over: "Dat is geen probleem toch, je kan het bestand gewoon opnieuw versturen", en kon zeker geen uitspraken doen over of dit niet nogmaals zou gebeuren. Niet helemaal de betrouwbaarheid waar ik op rekende.

Maar geluk dat ik dit toen afgehaakt ben!
mrmrmr @Niet Henk15 november 2024 04:29
Extra protocollen introduceren potentiële zwakheden. Het probleem met ondersteuning van Amazon S3 veroorzaakte een lek.

Het voordeel is van open source en wijd gebruik (hier in onderwijs) is dat het getest kan of zal worden door ethische hackers.
juanita 14 november 2024 19:36
Waarom zou je dit verkiezen boven FTP?
Het @juanita15 november 2024 09:29
Omdat niet iedereen een ftp server in z'n achterzak heeft zitten waar je even een paar TB kan stallen.
joeri1 14 november 2024 15:05
Zonder verdere technische details vind ik het moeilijk hier wat van te vinden. Hoe moeilijk was het bijvoorbeeld om bij de bestanden van andere te kunnen? Het zou SURF sieren meer informatie te delen ook al zijn ze dat niet verplicht.
banaj 14 november 2024 15:47
In ieder geval goed dat ze periodiek een penetratietest uit laten voeren en de gekozen partij capabel blijkt te zijn!

Wel interessant om te weten wat de fout was en hoe die in de code is gekomen (https://cheatsheetseries....evention_Cheat_Sheet.html o.i.d.)?
Arvidlandwaart 14 november 2024 19:37
Jammer dat veel mensen zo cynisch zijn. Het is toch juist goed dat dit getest wordt, dit gemeld wordt en dat men het oplost. Elke pentest komen genoeg bevindingen uit, niemand is foutloos. Door negatief hierop te reageren werk je alleen maar in de hand dat anderen dit soort dingen niet meer melden. Dus props voor hoe dit is afgehandeld en laten we allemaal meer laten pentesten!
Quintiemero 14 november 2024 14:46
Haha en maar groot promoten op hun website.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq