Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 67 reacties

De Dienst Uitvoering Onderwijs heeft persoonlijke gegevens van studenten laten uitlekken. Gebruikers die via DigiD inlogden op de DUO-website, konden gegevens van anderen te zien krijgen. Het lek zou in enkele gevallen zijn voorgekomen.

Het is onbekend hoeveel gebruikers precies informatie van andere gebruikers hebben kunnen zien, meldt RTL Nieuws, dat de beveiligingsfout aan het licht bracht. Een studente vertelde RTL dat ze na het inloggen op de DUO-site gegevens van een andere student kon bekijken. DUO is de organisatie die onder andere het verstrekken van de studiefinanciering en de studenten-ov-jaarkaart regelt.

Volgens een woordvoerder van de organisatie zou het kunnen dat nog enkele gebruikers gegevens van anderen hebben kunnen bekijken. Nadat het beveiligingslek werd ontdekt, heeft de organisatie zijn website tijdelijk uit de lucht gehaald. Het is via de DUO-website overigens ook mogelijk om informatie te wijzigen. Zo kan de studiefinanciering worden stopgezet en een ov-jaarkaart worden opgezegd. Het is niet bekend of dit als gevolg van de fout ook voor anderen mogelijk was. Opzeggen van een studie kan overigens niet via de DUO-website; daarvoor moet een andere dienst, Studielink, worden gebruikt.

Het beveiligingslek zou zich hebben voorgedaan door de 'grote drukte' waarmee DUO te maken zegt te hebben gehad. Daardoor zouden verkeerde gegevens aan elkaar zijn gekoppeld. De fout zou aan DUO zelf te wijten zijn. Het beveiligingsmechanisme DigiD, dat voor diverse overheidssites wordt gebruikt, was niet debet aan het datalek.

Moderatie-faq Wijzig weergave

Reacties (67)

Lekker dan, zit je opeens zonder stufi...

Lijkt me toch ook sterk dat ze handmatig de gegevens aan een DigiD moeten koppelen, dat gebeurt toch gewoon op basis van je BSN?
tenminste, dat haal ik uit het stukje:
Het beveiligingslek zou zich hebben voorgedaan door de 'grote drukte' waarmee DUO te maken zegt te hebben gehad. Daardoor zouden verkeerde gegevens aan elkaar zijn gekoppeld.
edit:
Beetje verduidelijking

[Reactie gewijzigd door Tormbo op 9 november 2010 09:18]

Geen stufi ontvangen lijkt me nog niet zo erg want dat krijg je later wel weer. Het lijkt mij erger als ze je rekeningnummer veranderen naar een Roemeense en vervolgens een lening aanvragen via DUO.
Grapjas, sommige mensen kunnen echt niet zonder. En betalen hun school in termijnen. Je mag één keer verzuimen je collegegeld te betalen en daarna dubbel betalen. Is dit al een keer voorgevallen. Dan ben je dus de klos. :+
Zelfs als je al rood staat mag je toch verwachten een buffer te hebben van minimaal een maand. Als je continue maximaal rood staat en een enkele keer stufi missen betekent dat je niet meer je collegegeld kan betalen wordt het hoog tijd je financien op orde te brengen. Er staat me bij dat er doorgaans zelfs wordt aangeraden minimaal drie maandsalarisen achter de hand te hebben voor noodgevallen, dat is geen overbodige luxe.

Overigens verbaas ik me erover dat dit kan. Het lijkt erop dat er bij het ophalen van gegevens dus op een bepaald punt geen controle meer wordt gedaan of de gebruiker die de gegevens opvraagt wel overeenkomt met de gebruiker die ingelogd is, dat is toch wel een van de meest basale fouten die je kan maken als ontwikkelaar.

Ik werk zelf als webdeveloper naast mijn studie, heb regelmatig te maken met het Digid platform vanuit een ontwikkelaars-standpunt, en dat is toch erg goed en duidelijk opgezet. Je kan sowieso altijd het BSN van een ingelogde gebruiker opvragen, die koppelen aan je eigen data is vervolgens een eitje. Slordig, DUO.
Sommige mensen kunnen niet rood staan. En lang niet iedereen heeft zomaar een buffer van een maand hoor. En ja, 3 maandsalarissen achter de hand hebben is fijn, maar zeker niet voor iedereen weggelegd.

Waarschijnlijk wordt er ergens de DIGID ID aan een persoon in de DUO DB gekoppeld en als ze die koppeling verkeerd maken dan krijg je dus gekke dingen te zien. :) Dus als ze bijvoorbeeld in hun systeem een middel hebben opgenomen om meerdere mensen toegang te geven tot bepaalde gegevens en daar vullen ze de verkeerde gegevens in krijg je dus een lek. Dat is geen fout van het systeem maar van de mensen die het gebruiken.
Een student met drie maandsalarissen achter de hand? Laat me niet lachen.
Hele groepen studenten moeten de laatste week van de maand al op een houtje bijten.
Maximaal roodstaan is sowieso geen goed idee, maar een buffer van duizend euro of meer voor studenten is onrealistisch.
Er is vast een hoop te verbeteren aan de financiele huishouding van studenten maar vergeet niet dat ze net van moeders pappot komen en opeens met geld moeten leren omgaan. Stufi is al geen vetpot, je moet er bijna bij werken. Verwachten dat studenten dan ook nog kunnen sparen en wat achterhouden is gewoon asociaal, je weet dat er een flinke groep mensen nodeloos door in de problemen komt.
De laatste keer dat ik iets heb aangepast kreeg ik de melding dat het pas de vrijdag na de wijziging definitief zou worden. Als iemand dus vandaag jouw stufi stopzet, kun je dat gewoon nog terugdraaien, als je ervan op de hoogte bent.
Ok, ik wijzig jouw gegevens op donderdag avond, en nu?
Dan heb je nog tot vrijdag ergens in de middag vziw. En anders kun je, tenzij het vlak voor de uitbetaling is, de week erna de bedragen weer aanpassen naar het juiste niveau.

Of je belt met DUO en legt uit wat er is gebeurd :+
Ik weet uit persoonlijke ervaring dat er bij de DUO nog redelijk wat handmatig afgewerkt wordt. Zo hebben ze het voor elkaar gekregen dat toen iemand anders in zijn account de studiefinanciering en lening had aangepast, het gevolg was dat bij mij die gegevens werden doorgevoerd. Na bellen met de klantenservice bleek dat hij enkel dezelfde voornaam had. Duurde vervolgens 2 maand voor ze het goed voor elkaar hadden en ik mijn achterstallige stufi had.
En de overheid blijft zich maar afvragen waarom iedereen zo fel is tegen invoering van de O.V. Chipkaart, Slimme meter voor in de meterkast, electronisch patient dossier, etc etc.

Als ze nou eens een keertje lieten zien, dat ze daadwerkelijk goed om zouden kunnen gaan met prive gegevens, ipv deze makkelijk toegankelijk maken, uitlekken en misbruiken, dan zou ik nog wel wat hoop hebben.

Maar het enige wat ze keer op keer doen is bewijzen hoe incompetent ze zijn met de veiligheid mbt prive gegevens. Het feit dat er lekken in zitten en dat anderen zonder problemen dus gegevens van anderen kunnen in kijken, geeft mij ook niet echt een veilig gevoel in de zin dat deze data goed beveiligd zou zijn.

Ja ik weet het, niet een bijzonder positief bericht, beetje op het flamende af, maar de overheid bakt er de laatste tijd gewoon echt niets van. Ik moet niet blindelings vertrouwen op de overheid, maar ze moeten eens gaan laten zien dat ze het vertrouwen waard zijn. Want het gaat wel over mijn (onze) gegevens.

[Reactie gewijzigd door Nazanir op 9 november 2010 09:35]

Als ze nou eens een keertje lieten zien, dat ze daadwerkelijk goed om zouden kunnen gaan met prive gegevens, ipv deze makkelijk toegankelijk maken, uitlekken en misbruiken, dan zou ik nog wel wat hoop hebben.
Beetje kort door de bocht, digid bijv. is relatief erg veilig, de enige problemen die er zijn komen door gebruikers zelf.

Je kunt al jaren digitaal aangifte doen via de belastingdienst, ook dat is relatief veilig. Zo zijn er wel meer IT projecten van de overheid die het prima doen. Alleen zie jij die niet omdat ze niet op tweakers staan. Er staan alleen berichten van projecten die niet veilig zijn...

@nazanir (onder) -> ik ben ook niet voor het pushen van dingen die weinig tot niets toevoegen zoals de OV chipkaart. Het gaat mij er alleen om dat de overheid niet altijd alles rond IT fout doet.

[Reactie gewijzigd door Drexz op 9 november 2010 11:20]

Begrijp me niet verkeerd, er zijn zeker ook dingen die goed gaan, daar hoor je mij zeker niet over klagen.

maar het weegt gewoon niet op tegen wat er op het punt van gebeuren staat: met de O.V. Chipkaart + slimme meter kunnen een hele mooie uitdraai maken van hoe jouw week eruit ziet, en ziet men meteen wanneer iets buiten je normale patroon zal vallen. Het feit dat deze gegevens ook makkelijk toegankelijk/per ongeluk toegankelijk (wat in dit bericht het geval is)/of makkelijk te hacken is, betekend dat anderen aan de haal kunnen met mijn ID gegevens (en ID diefstal is echt het ergste wat je kan overkomen).

Even lost van wat simpele voorbeelden, als iemand aan mijn patroon kan zien dat ik elke dag van huis ben tussen 8 en 5, is het een koud kunstje om dan mijn huis evne leeg te halen, omdat er dan toch niemand is. Of mijn OV word gehacked, ik maak voor honderden euros aan kosten, en ik moet hiervoor gaan opdraaien.

Wie verzekerd er overigens of er geen uitdraaien gecombineerd gaan worden met mijn DigiD dan? Kruisreferenties zijn zo gemaakt, en hoe meer men aan de slag gaat met dit soort dingen, hoe groter de kans op fouten/lekken. Zeker omdat ze nu aangeven dat door de drukte, de gegevens perongelijk inzichtelijk zijn geworden. Dit is ronduit een zwaktebod, en geeft aan hoe slecht de IT kennis van de overheid in het algemeen is.

En deze mensen moet ik dan dus maar gaan vetrouwen op correct, effecient en wettelijk gezien goed beheer van al mijn (digitale) prive gegevens? Mij niet gezien. En zelfs al gingen ze secuur met mijn gegevens om (dus geen lekken, moeilijk/niet hackbaar), dan nog houden ze de komende jaren precies bij wat ik wanneer doe. En dat alleen al zit mij niet lekker, het is niet de taak aan de overheid om ons allemaal maar lekker in de gaten te houden, zeker niet ivm misdaad bestreiding. Iedereen is onschuldig tot het tegendeel is bewezen, maar met een systeem zoals deze, is iedereen schuldig, tenzij het tegendeel word bewezen.

MAW, ze houden netjes allesbij ervan uitgaande dat je wat verkeerd doet, zolang je dit niet doet, neits aan de hand. Maar doe je iets wat buiten je normale patroon valt en die dag kwam je later thuis met het OV, en laat er die dag net iets ergs gebeurt zijn (een moord bijv), wedden dat je nog geen 24 uur later opgepakt bent en in voorarrest zit? Alleen dit al vind ik een beangstige gedachte, maar het feit dat ze niet secuur omgaan met prive gegevens, geeft mij nog meer vrees, want als een ander aan de haal gaat met mijn ID gegevens, ben ik nergens meer.

@Drexz boven: begrijp me niet verkeerd, er zijn genoeg dingen die goed gaan, maar het hele gevoelige probleem is, dat als er iets verkeerd gaat (wat helaas te vaak gebeurt), de burger het slachtoffer word, omdat zijn/haar gegevens op straat komen te liggen. Dit is ronduit kwalijk. Nu in dit bericht betekend het voor studenten mogelijk verlies van Sutfi, omdat een ander met wat simpele wijzingen nu kan ontvangen op zijn bankrekening nummer. Al gebeuren dit soort dingen weinig, het zou gewoon helemaal niet mogen gebeuren dat een oevrheids instellingen dan wel onbedoeld gegevens naar buitenlekt.

[Reactie gewijzigd door Nazanir op 9 november 2010 11:49]

Het grootste probleem zit em volgens mij in het feit dat ze voor ieder ding weer een aparte toko inrichten. De ellende die je dan krijgt is dat je heen en weer wordt gestuurd tussen alle toko's van de overheid en niemand zijn verantwoordelijkheid neemt. Dat zie je ook tussen DUO vs Translink systems voor de OV-studentenchipkaart.

Overigens omtrend dit probleem. Vind het erg vreemd dat het veroorzaakt wordt door de drukte. Een aannemelijke verklaring is een sessieserver welke sessies doorelkaar zit te halen door de drukte of een loadbalancer welke dingen verkeerd doet. Ze zullen denk ik de infrastructuur eens na moeten kijken.
Als ik jou was zou ik me niet zorgen maken over de nogal ernstige toon van je reactie. Het moet een keer genoeg zijn geweest, eigenlijk zouden we met z'n allen moeten protesteren tegen deze grote lading onzin IT. De overheid heeft ongeveer evenveel IT kennis als een baksteen, en toch hebben ze de eindverantwoordelijkheid als het gaat over het beschermen van miljoenen mensen hun kostbare privacy. Wat ik nu wel eens zou willen zien, is hoe de persoon die hier verantwoordelijk voor is reageert. Hoogstwaarschijnlijk(want dat doen al die honden) word er gewoon gewezen op het feit dat je geen systeem 100% zeker kunt beveiligen. Een matig excuus voor een bedrijf wat duidelijk zijn verantwoordelijkheid heeft verzuimd.

"Het beveiligingslek zou zich hebben voorgedaan door de 'grote drukte' waarmee DUO te maken zegt te hebben gehad."

Ja en sinterklaas had er ook iets mee te maken zeker? Wat een onzin dat er ineens data op straat gaat als er "grote drukte" is. Sinds ze sowieso nog meer van dit soort drukke dagen gaan hebben als belangrijk bedrijf, gaat dit blijkbaar nog een aantal keer gebeuren?

[Reactie gewijzigd door grind op 9 november 2010 09:41]

Jarenlange uitholling van overheidsdiensten door (rechts) beleid, kwantiteit boven kwaliteit (ook een eis vanuit de eindgebruiker, die vooral niet wil nadenken), dit is opzich toch niet onverwacht? je krijgt als burgers immers de overheid die bij je past.

Het zal de komende jaren alleen maar erger worden als het aan deze regering ligt
Hoe kan het nou uitgehold worden door rechts beleid? We hebben vele decennia linkse regeringen gehad en nu we eindelijk eens een rechtse regering hebben is het opeens hun schuld? En dat het met de huidige regering erger gaat worden is natuurlijk flauwekul van de bovenste plank.
Ha. Dus toch eindelijk een voordeel aan het oerwoud van opgedrongen diensten die studenten maar dienen te gebruiken (in mijn geval DUO, Studielink, Blackboard en Progress). Als er dan eens eentje lek is dan kunnen ze niet bij de rest.

Natuurlijk een kwalijke zaak dit, maar zolang de schaal van het probleem niet duidelijk is is het lastig om in te schatten hoe kwalijk dit precies is.
Helemaal mee eens. Helaas moet ik van dezelfde sites gebruik maken als die jij beschrijft.(blackboard is bij mij nestor.) En er is altijd wel iets mis met de sites van onderwijs of overheidsinstellingen. Dat alles overgeheveld werd naar DUO ging al niet vlekkeloos, en nu dit weer.. Ik hoop voor de studenten dat de schade mee valt en dat er niet te veel mee is gerotzooit.. Door de grote drukte, betekend dat dan dat ze te weinig servercapaciteit hebben?
off topic
Helaas worden er aan studenten allemaal zaken opgedrongen waar ze niks mee kunnen of die slecht werken. Zo erger ik me aan studielink, je wordt plat gemaild dat alles in orde is en dan 1 week voor schooljaar hoor je van je opleiding dat je niet ingeschreven staat. Blackboard en Osiris zijn meer offline dan online.

Dan wijst school je nog zon fijn niet te onthouden emailadres toe waarvan je je inbox zo groot is dat een mail met een wat grote bijlage sluiting van je email als gevolg heeft. Automatisch doorsturen en verwijderen van emails mag niet vanwege te veel dataverkeer.

on topic
Zeer kwalijke zaak, iets waar studenten gegevens als bankgegevens invullen en ander persoonlijke informatie (vrij) op internet te vinden is. Als een site te druk is moet ie maar offline gaan en niet verkeerde informatie gaan weergeven. Maar misschien moeten ze alles voor de zoveelste keer maar eens op de schop nemen en uitbesteden aan een echt bedrijf in plaats van een verkapte overheidsinstelling.
Het is al zeer slecht geregeld bij de IB-groep (nu DUO) en nu blijkt dat ze niet eens in staat zijn hun gegevens te beveiligen?

Gelukkig studeer ik niet meer en heb ik er niet zoveel meer me te maken.
De drukt vind ik overgens erg logisch, je krijgt eerst e-mail dat alles vanzelf gaat en achteraf blijkt dat je toch vanalles had moeten doen via de website :/
Er waren al problemen in 1989 en dat is altijd zo gebleven. Organisatorich rommeltje,destijds. Sommigen hadden steeds opnieuw problemen omdat IBG steeds opnieuw hun gegevens wijzigde, bv studenten die uitwonend waren als thuiswonend te registeren of hun stufi helemaal stop te zetten (ken een voorbeeld van iemand die geen contact had met z'n moeder, vader overleden, had steeds opnieuw problemen). Ook typisch voorbeelden van redundante data waarbij na een wijziging, men die blijkbaar eerst wel had geregistreerd en drie maanden later dat opeens teruggedraaid was (back-up met oude gegevens teruggezet mischien?) en na hernieuwd ingestuurde wijziging drie maanden later weer.
Misschien eens het artikel lezen, hun gegevens zijn wel beveiligd, maar iemand heeft gewoon een verkeerde koppeling gelegd...
Het beveiligingslek zou zich hebben voorgedaan door de 'grote drukte' waarmee DUO te maken zegt te hebben gehad. Daardoor zouden verkeerde gegevens aan elkaar zijn gekoppeld.
Dus hun software haalt onder load shit door elkaar ? Klinkt alsof er een enorm concurrency probleem in zit.
Of het is gewoon een (erg slechte) smoes, wat me waarschijnlijker lijkt.
Zelf ben ik student en heb zelf deze bevindingen niet gehad.
Echter werkt DUO (nog) niet via je BSN, zoals hierboven gezegd wordt. Nu werken zij nog met een 'correspondentienummer'.
Vanaf 2011, dacht ik, willen ze dit omzetten naar het BSN. Wat imo makkelijker zal zijn.
Dat 'correspondentienummer is toch gewoon je bsn?
Nee:
Ik heb geen correspondentienummer van de DUO-IB-Groep. Wat nu?

Iedereen die eindexamen heeft gedaan, heeft een correspondentienummer van de Informatie Beheer Groep. Als je dit nummer niet weet of kwijt bent, neem dan contact op met de DUO-IB-Groep, T 050-599 7755.
nee, dat is een 14 cijfers lang nummer wat op iedere brief staat.
Echter kloppen de brieven ook niet, ik kreeg op 23 oktober een broef die gedateerd was op 27 oktober

ze kunnen de toekomst voorspellen daar
Dat gebeurd wel vaker. Je hebt namelijk vaak vanaf de dagtekening van de brief een bezwaar mogelijkheid (plus een termijn daarbij). Door de datum in de toekomst te zetten kan er weinig discussie over de dagtekening ontstaan, het is namelijk in jouw voordeel.
letterlijke tekst van de brief was:

"We hebben je bericht ontvangen. Je ontvangt van ons zo spoedig mogelijk bericht"

Waarom de datum dan later zetten? Zodat het lijkt alsof ze nog trager werken daar en dat ik langer moet wachten? Of was iemand te ijverig en heeft hij brieven te snel verstuurd?
Aldie brieven van de DUO worden verstuurd met een dagtekening in de toekomst. Op deze manier zorgt de DUO ervoor dat u altijd minimaal zoveel (6?) weken de tijd hebt om in bezwaar te gaan. Dit is een wettelijke bezwaartermijn.
Een correspondentienummer kent 12 cijfers, gescheiden door wat streepjes: xxxx-xxxxx-x-xx. Dit nummer is voor DUO het identificerende nummer, zoals het BSN (9 cijfers) dat voor de overheid is. DUO is wettelijk verplicht met ingang van 1-1-2011 met haar klanten te gaan communiceren op basis van een BSN i.p.v. een correspondentienummer.
uit eigen ervaring kan ik je vertellen dat dat niet het geval is. Dat is een of ander nummer dat bovenaan de 'persoonlijke' brieven staat.
En btw als het hetzelfde zou zijn hoefde ze het ook niet binnen afzienbare tijd te veranderen in het BSN?
Maargoed, meer dat dit weet ik er ook niet vanaf en zal dat dus ook niet mede delen.
Ja ja, de drukte... vind je 't gek wanneer je mensen conflicterende mailtjes stuurt (uw inschrijving is geregeld, het is niet geregeld, het is toch wel geregeld)? De beveiliging schiet er nog weleens bij in wanneer je constant bezig bent je eigen rotzooi op te ruimen.
Zeer kwalijke zaak dat de overheid dit soort gegevens zichtbaar maakt aan derden. Als bijvoorbeeld een site overbelast dreigt te raken zouden ze hem tijdelijk moeten sluiten of meer rekenkracht in gaan zetten.
Grote drukte mijn reet. Als je verkeerde gegevens aan elkaar koppelt, dan ben je verkeerd te werk gegaan. Er zijn simpelweg geen andere mogelijkheden.

Het is overigens ook onzin dat er zoveel instanties zijn (zoals murphsy al aangeeft). DUO, Studielink en de Belastingdienst moeten vaak gegevens uitwisselen, dus eigenlijk horen ze onder één (of anders twee) noemers. Het huidige model is prut: het duurt soms dagen voordat de een informatie heeft van de ander, er is blijkbaar een te grote kans op fouten en het corrigeren daarvan gaat weer moeizaam.
Zoals altijd, fouten maken is niet slim. Maar wanneer het om een gering aantal mensen gaat en er is snel actie ondernomen dan mag je het ook wel relativeren. Zoals altijd: waar zijn de doden gevallen? Niet? Hoe groot is dan het probleem?

Als we even de woordvoerder van DUO geloven - doe je best - en het heeft inderdaad met grote drukte te maken dan zijn dat lastige zaken om te testen. Fouten in het systeem die zich pas bij grote drukte zullen voordoen zijn zeker te bedenken.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True