Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Overheidsorganisatie laat privégegevens studenten uitlekken

De Dienst Uitvoering Onderwijs heeft persoonlijke gegevens van studenten laten uitlekken. Gebruikers die via DigiD inlogden op de DUO-website, konden gegevens van anderen te zien krijgen. Het lek zou in enkele gevallen zijn voorgekomen.

Het is onbekend hoeveel gebruikers precies informatie van andere gebruikers hebben kunnen zien, meldt RTL Nieuws, dat de beveiligingsfout aan het licht bracht. Een studente vertelde RTL dat ze na het inloggen op de DUO-site gegevens van een andere student kon bekijken. DUO is de organisatie die onder andere het verstrekken van de studiefinanciering en de studenten-ov-jaarkaart regelt.

Volgens een woordvoerder van de organisatie zou het kunnen dat nog enkele gebruikers gegevens van anderen hebben kunnen bekijken. Nadat het beveiligingslek werd ontdekt, heeft de organisatie zijn website tijdelijk uit de lucht gehaald. Het is via de DUO-website overigens ook mogelijk om informatie te wijzigen. Zo kan de studiefinanciering worden stopgezet en een ov-jaarkaart worden opgezegd. Het is niet bekend of dit als gevolg van de fout ook voor anderen mogelijk was. Opzeggen van een studie kan overigens niet via de DUO-website; daarvoor moet een andere dienst, Studielink, worden gebruikt.

Het beveiligingslek zou zich hebben voorgedaan door de 'grote drukte' waarmee DUO te maken zegt te hebben gehad. Daardoor zouden verkeerde gegevens aan elkaar zijn gekoppeld. De fout zou aan DUO zelf te wijten zijn. Het beveiligingsmechanisme DigiD, dat voor diverse overheidssites wordt gebruikt, was niet debet aan het datalek.

Door Joost Schellevis

Redacteur

09-11-2010 • 09:10

67 Linkedin Google+

Reacties (67)

Wijzig sortering
Ik vind dit nog niet zo schokkend. Vorig jaar had ik een melding gemaakt bij DUO van een beveiligingsfout die ik een stuk erger vond.

Toen kon je nog op een sessie van iemand anders komen als je via DigiD in ging loggen achter een NAT. Ik kwam vrolijk op de DUO pagina van mijn zusje terecht toen ik probeerde in te loggen. Bleek dat zij ook ingelogd was.
Het is zeker slordig, want dit zou gewoon via DigiD gebeuren, en daarbij is het zo dat het allemaal onder grote druk moet gebeuren, maar ze maken wel vordering

- eerst was het allemaal in Http:// nu in Https://

- en zoals Xantis zegt dat je via 1 netwerk gemakkelijk in kon loggen op die van je broer/zus of nog weer wat anders.

Ik denk dat het niet heel ernstig is zeker omdat het bij een aantal mensen is gebeurt. ik hoop gewoon dat de woordvoerder van DUO gelijk heeft dat het zo snel mogelijk wordt opgelost.
Deze problemen heb ik ongeveer 10 jaar geleden ook bij de DWI computer gezien. Na het inloggen met mijn gegevens kon ik dood leuk gegevens van andere bekijken. Hierop heb ik als brave tweaker natuurlijk een mail gestuurd naar systeem beheer die mij doodleuk melde dat dit niet belangrijk was en slechts een incident betrof. Een jaar later weer was het probleem nog niet opgelost en zag ik nog steeds alle gegevens van een willekeurige persoon (een mevr. uit lutjebroek).
Een probleem kan natuurlijk opnieuw ontstaan of iemand heeft per ongeluk de achterdeur opgelaten maar ik weet uit ervaring dat de systeem beheerders van de overheid zich er niet echt druk om maken.....dus: to be continued!
Ja iedereen huilen over IBG/DUO (en terecht), maar de ICT'ers die wel weten hoe het moet hebben a) geen zin voor de overheid te werken of b) zullen direct floreren in het bureaucratische paradijs van onoverzicht en verspilling omdat ze dan ook met twee vuistjes in hun neusgat kunnen sparen voor hun wintersport.

Door de grote drukte? Omdat het druk is word er geen beveiliging gedaan.
Lijkt mij een kwestie van verkeerde rechten en aan de gebruikers toekennen en authenticatie van de gegevens.

Of zie ik dat nu verkeerd? Typisch weer iets voor het overheidswezen :+
Voormalige IB groep is werkelijk een drama. Vaak aan de stok gehad met deze instelling. Fijn om te zien dat dit niet tot weinig is veranderd.
Ik had al klacht ingedient bij het begin van die DigiD site.
Zo onveilig als de pest, en het begon in HTTP alleen, later hebben ze HTTPS toegepast (gelukkig).
En, grote druk waardoor er andere gegevens gegeven werden ?
Wat voor BULLSHIT is dat nu weer...
Als normale sites zoals FOK, Tweakers en mijn eigen sites zelf onder hoge druk gewoon normaal functioneren, doen die admins/programmeurs daar echt wat fout...
Je maakt een vergelijking met tamelijk simpele forum sites, zonder rekenwerk van belang, geen business rules. En dat vergelijk je met DUO? Ik denk dat je heel wat van de complexiteit niet in beeld hebt.
Je vergelijkt een tweetal grote commerciele sites met een overheidssite met slechts wat database gegevens om weer te geven en aan te passen? Ik denk dat de complexiteit niet bij de overheid gezocht hoeft te worden. Hoewel Power2All0wnzj0 het wat ongenuanceerd stelt heeft deze wel een punt, "grote druk" is een reden om een release uit te stellen, niet een reden om een onveilige site op te leveren.
Wanneer heeft dit precies plaats gevonden. De drukte was er in half augustus tot begin september. Dus het kan niet door de drukte komen. Ik heb zelf wijzigingen doorgegeven eind augustus.
De diensten zijn nu wel verbeterd met DUO. De meeste dingen kun je zelf terug vinden en veranderen. Je krijgt ook een email als je studiefinanciering later wordt gestort.
nee, de drukte is er nu pas.

Nu pas komen de meeste erachter dat de e-mail die ze gekregen hebben dat alles vanzelf gaat niet kloppen.

dan ga je kijken op de site en blijkt dat er inderdaad niks is veranderd, ondaks dat je 5X te horen krijgt dat jij niet hoft aan te passne (behalve je aanmelden via Studielink, rest gaat dan vanzelf |:( )
Gaat inderdaad per 2011 om naar je BSN.

En nadat ze dus hun eigen administratie niet op orde hebben (ik ontvang al sinds september geen stufi meer en krijg telkens boetes voor onterecht OV gebruik :p), is er dus ook nog een probleem in de beveiliging....

Studenten moeten dus maar gaan werken voor hun geld?
ik ontvang al sinds september geen stufi meer en krijg telkens boetes voor onterecht OV gebruik
Heb je je studentenreisproduct wel stopgezet en ontladen bij een van die palen?
waarschijnlijk studeert hij nog gewoon maar hebben ze ineens zijn studie beëindigd.
Ik studeer idd nog wel maar ben van opleiding gewisseld.
dat ging bij mij ook mis...

Ik kreeg 5 mails dat ik niets hoefde te doen.
In september nog steeds niks gekregen.
Gebeld en moest ik me aanmelden (echter per 1 oktober gestopt met de opleiding)
Toen was ik ineens weer aangemeld met OV e.d. terwijl ik alleen de maand september en augustus nog betaald moest krijgen.

Nu moet ik weer de maand oktober gaan terugbetalen...
Dat soort fouten maken zij bij IBG al sinds 1989. Lijkt er op dat ze een incomplete gegevensset gebruiken.
Het beveiligingslek zou zich hebben voorgedaan door de 'grote drukte' waarmee DUO te maken zegt te hebben gehad.
Ja hoor, tuurlijk. Wanneer er veel mensen inloggen op de website, wordt in de database een verkeerde query uitgevoerd. Sure. Not.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Elektrische auto

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True