Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 93 reacties

Een eerstejaars informaticastudent van de Hogeschool van Amsterdam heeft in zijn eerste week een lek in de Digitale Leer- en Werkomgeving van de instelling gevonden. Hij kon bij wachtwoorden, foto's, cijfers en roosters van mede-studenten komen.

De negentienjarige Sander de Vos, student informatica aan de HvA, stuitte vier dagen na het begin van zijn opleiding op het lek. Hij kwam er naar eigen zeggen 'na een beetje rondzwerven' op de Digitale Leer- en Werkomgeving achter dat hij bij foto's van alle studenten kon komen. Via het lek bleek hij echter veel meer te kunnen en ook gegevens als volledige namen, e-mailadressen, telefoonnummers, en HvA-inlognamen te kunnen benaderen. Daarnaast kon hij wachtwoorden aanpassen, inloggen op accounts van anderen en cijfers inzien.

De student heeft het lek gemeld bij de it-afdeling van zijn onderwijsorganisatie en die medewerkers zijn het probleem aan het verhelpen. Dit zou nog weken kunnen gaan duren. Het is daardoor tijdelijk niet mogelijk via internet accounts te activeren of gegevens te wijzigen. "Het is echt een grote fout, een privacyblunder", verklaart De Vos tegen FoliaWeb, "Ik vind het best erg dat de privacy van die studenten en medewerkers zo slecht beveiligd is." Volgens de HvA heeft niemand anders van de methode van de student gebruikgemaakt om de leeromgeving te kraken. Details over het lek maken de partijen niet bekend.

Moderatie-faq Wijzig weergave

Reacties (93)

Lijkt me een soort testomgeving, er wonen bijvoorbeeld 11 medewerkers op "Rhijnspoorplein 1" ... :D
Dat is inderdaad raar. Maar de ICT van HvA heeft bevestigd dat hier ook echte data in staat.
Ok, dit is ook een beetje matig: https://adresboek.hva.nl/?login=1302011 hmmmm....
Logins van medewerkers staan inderdaad openbaar.
Daar werken ze dit is gewoon hun Adresboek van de werkomgeving.
Dat het volledig openbaar is, is wel vreemd. Dit zou achter een studenten/docenten login moeten zitten.
Was het naar mijn weten nooit, 10 jaar geleden kon ik ook dat soort gegevens online opzoeken.
Je weet wel toen je nog admin rechten op elke PC had :)

Hogeschool Leiden was helemaal faal, ik had binnen een paar uur de password generator gekraakt. Daar kon je je ww niet veranderen omdat ze er een mac omgeving naast hadden....
Ja maar het is opzich wel slordig. Het zou al iets beter zijn om het achter een login te zetten zodat deze gegevens juist niet op straat liggen niet iedereen hoeft te weten dat Piet Jan Andersen werkt op adres: blablabstraat12 en zijn telefoon nr 666 is etc.

10 jaar geleden kan ik me voorstellen maar tegenwoordig mag dat toch wel anders zijn. ;)

Oow lekker van Hogeschool Leiden dan. Ondanks dat een vriend van me nooit problemen daar had.
Die adressen zijn locaties van de HvA waar deze mensen werkzaam zijn.
Dat klinkt inderdaad aannemelijk :)
Zou dat misschien het adres van een van de schoollokaties kunnen zijn? Als een medewerker zijn privé-adres niet invult of niet openbaar zet, lijkt me dat best een logisch alternatief.

[Reactie gewijzigd door mae-t.net op 7 september 2014 04:07]

Jemig. Dat is een serieuze! inclusief 06 nummers.
Is wel echt gillen van het lachen zeg, je zal daar maar les krijgen in ICT, weet je ook weer wat je opleiding waard is als je door zulke kneuzen opgeleid wordt :P
Wat hebben ICT docenten te maken met het ICT beheer op een school? Mij lijkt toch zo dat zij zich ook wel ergeren aan die fratsen die er dan spelen. Hoe vaak komt het niet voor dat iets aan het licht komt maar dat het daadwerkelijke beheer er dan niets aan doet? :)

Buiten dat is het natuurlijk wel enorm slecht te noemen, maar zolang geen student bij die ICT-afdeling gaat stagelopen lijkt me er niet veel aan de hand... tenminste! voor wat betreft de opleiding. Het is natuurlijk wel leerzaam als je al wat meer weet, zodat je dan ook kunt zien hoe het niet moet. Hoe knullig dat dat gegeven ook is, hoe het niet moet is vaak wel leerzaam. :P
Ik kan beamen dat dit ook bij uni's het geval is. Meld je iets of heb je ergens een aanmerking op, krijg je te horen dat je de eerste bent die het meldt en dat ze er nog nooit klachten over hebben gehad. Lekkere argumenten, als je in plaats daarvan gewoon zegt dat er geen tijd en/of geld voor is.
Volgens mij mis je een beetje de ironie. Of vertellen ze op de HvA niet dat je *ALTIJD* user input moet valideren? Is beveiliging geen onderdeel van de informatica opleiding? Hebben ze zeker ook nog nooit van OWASP gehoord?

De top tien 'exploits':
  • A1 Injection
  • A2 Broken Authentication and Session Management
  • A3 Cross-Site Scripting (XSS)
  • A4 Insecure Direct Object References
  • A5 Security Misconfiguration
  • A6 Sensitive Data Exposure
  • A7 Missing Function Level Access Control
  • A8 Cross-Site Request Forgery (CSRF)
  • A9 Using Components with Known Vulnerabilities
  • A10 Unvalidated Redirects and Forwards
Punt A2 (waar zowel de leeromgeving als het adresboek onder vallen) was in 2010 zelfs nog punt A3. Ofwel gebrekkige authenticatie is momenteel na SQL injectie de meest voorkomende reden dat websites worden 'gehacked'..
Haha nee, ik mis de ironie niet, valt me alleen op dat zulke dingen snel worden gezegd. Sarcasme of ironie vond ik in deze nogal twijfelachtig, niet erg overduidelijk in de reactie aanwezig. Als mensen het serieus gaan nemen, volgen ze de opleiding niet meer, terwijl het hele gebeuren los van de opleiding staat. Dus ze kunnen een hoop vertellen op de opleiding zelf, of juist helemaal niets daarover, dan nog staat dit gebeuren los van de opleiding zelf.

Overigens zou hetzelfde zijn als ik infrastructuur studeer en ik leer een hoop over hoe het allemaal moet. Ook van zulke prachtige opsommingen vergelijkbaar met wat jij hierboven post en berekeningen over zichthoeken (= ook veiligheid!), etc. Echter de weg op het schoolterrein wordt wel zo stom aangelegd, totaal niet volgens de regels van het CROW, dat je er wat van zegt... ook dan wordt je niet gehoord. Is dan meteen de opleiding Infrastructuur slecht? lijkt me nogal onzin. haha :+

Zo kan je nog tig voorbeelden bedenken dat in de leeromgeving gebeurt, maar wordt uitgevoerd door een externe partij buiten de docenten om. Alles wat wordt besproken op de opleiding hoeft de realiteit in de leeromgeving niet te zijn. Een punt heb je als de ICT docenten door hun kennis het lekke systeem verkapt gaan misbruiken... ja dat maakt de opleiding wel discutabel. ;)
De HvA heeft zeker wel van OWASP gehoord. Sterker nog, bij een minor van HvA informatica spreekt een gastspreker van OWASP :p
Als het daar net zo werkt als op de TUD, maakt men bij de facilitaire voorzieningen geen enkel gebruik van de op de faculteiten aanwezige vakkennis. Altijd goed voor gestuntel en vermakelijke blunders.
Daar kijkt iedereen raar van op ja, maar het is by design. Er schijnt een privacy-setting te zijn waar medewerkers vaak niet vanaf weten.
schijnt of blijkt? Dit hoort toch standaard dicht te staan en alleen daar te staan als het vinkje door de user zelf gezet is.....
Mee eens! Heb alleen geen onderzoek uitgevoerd om te weten te komen of men zich ervan bewust is, vandaar deze woordkeuze.
Mijn gegevens staan ook gewoon op de website van werkgever, wat is daar mis mee? Klanten mogen mij gewoon bellen, scholieren zijn toch soort klant van school?
Lek ? Het is meer dat zij de contactgegevens van de medewerkers gewoon het internet op hebben geslingerd ;)
Ze hebben het inmiddels weggehaald. Maar je kon daar eerst de kolommen selecteren die je wou zien.
Nou, ik kan het anders nog prima zien.
Je kunt niet meer selecteren welke kolommen je allemaal wilt zien. Het zijn er nu maar een paar.
Dat inderdaad ook ja :), helaas veranderen ze alles naar uppercase.
Wat is het lek dan? dat een adressenboek van medewerkers openbaar is, is niet zo heel gek..
Kijk mijn reactie op @rexus.
Grote familie die daar op Weesperzijde 190 woont!
Dat is de locatie waar ze werken.
Weesperzijde 190

[Reactie gewijzigd door Blizz op 5 september 2014 16:43]

Gebeurde bij ons ook. Alle school wachtwoorden van elke leerling zijn exact hetzelfde. Ik zie er geen probleem mee. Als iemand graag mijn cijfers wil bekijken mogen ze hun gang gaan. Daar staat echt niets interessants bij.
Het lek was echter veel groter dan dat. Omdat ik bij bepaalde informatie kan komen kon in wachtwoorden aanpassen en vervolgens als die gebruiker inloggen. Zonder veel moeite had ik ook bijvoorbeeld iemand anders tentamen kunnen maken.
Dat lijkt me zelfs meer dan een technisch probleem.
Als tentamens worden afgenomen in een online systeem, ontbreekt dus ook elke check dat jij ook degene bent die het tentamen maakt. Dat is dus ook een issue als je je eigen inloggegevens doorgeeft aan je afgestuurde neefje en die jouw tentamen laat maken.
vraag me af of deze student nog iets toe krijgt voor het vinden van dit lek, ik bedoel het bestaat.. het tast je geloofwaardigheid als instelling bestwel aan komt dit uit dat er misbruik van gemaakt word.
Ik zou dan als school zijnde als het echt is wat er in het artikel staat tochwel in staat zijn om deze student een vergoeding te verschaffen voor het vinden en melden van dit lek. al is het maar 50 euro ofzo.. ik bedoel als je jan-jaap de pro iter aan zoiets zet een dagje of wat.. ben je gewoon 100 euro per uur kwijt!
Ja, maar wie betaalt dat dan? Het probleem is vaak dat er geen budget vrijgemaakt wordt om de security te verstevigen, laat staan om een check te mogen doen of de security uberhaupt wel voldoet (laten we audits maar niet eens noemen...). Waarom zou een management/bestuur dat al geen geld beschikbaar stelt om het degelijk te maken wel een beloning uitkeren? Bovendien 'is er al niets meer aan de hand, het wordt nu toch gefixt?' Dat geld kan beter naar de bonuspot.
Schijnbaar komt het sarcasme niet over; ik had het nog tussen quotes gezet ook :P
Hey! Mijn naam. :+

Security blijkbaar niet zo goed voor elkaar daar.. Moet toch wel als een hogeschool met duizenden studenten. Overal maar accounts voor aanmaken maar ondertussen heb je geen idee hoe deze gegevens worden opgeslagen.
Dit artikel is zwaaaar overdreven.

Ten eerste gaat het over de VLO en niet de DLWO

Toegang tot alle email adressen is niet gek, dit is nodig.(ook mogelijk via adresboek)
Iedereen heeft een pf op de VLO, die kan je ook verwijderen als je wil, wat hier nou zo gevaarlijk aan is?

Het enige wat je nodig had om een ww te resetten was inlognaam en geboortedatum, daar zit het lek, niet in de vlo, terwijl deze ook niet van de beste kwaliteit is.

Als je een wachtwoord gereset hebt is het logisch dat je cijfers en dat soort dingen kan inzien.
Ook je ww wijzigen als je je ww al weet is niet gek.
Dan zeggen jullie nog inloggen op de acc's van anderen, helemaal niet gek met een gereset ww...

Jullie maken van een mug een olifant...

[Reactie gewijzigd door Harlow op 5 september 2014 17:36]

Het is niet overdreven.

De foto's die online stonden waren voor studentenpassen. De school mocht helemaal niet vragen naar foto's voor studentenpassen. Dat ze het dan ook nog eens online gooien en zichtbaar maken voor alle andere studenten en leraren is helemaal schandalig.

De lek zat mede in het VLO want via het VLO kon je de studentnummers achterhalen die je nodig had om hun account te activeren.

Daarnaast ging het niet om wachtwoorden wijzigen. Het ging om accounts activeren die al lang geactiveerd waren. Een bug in hun activeringssysteem dus. Je kon ook accounts van studenten activeren die al langer op de HvA zaten, daarna inloggen en zo hun toetsen inzien en zelfs maken.
Kijk dat klinkt al beter.

Ik ben ook even gaan kijken en met een beetje spelen met de URL kon ik ook al gauw studentnummers en loginnamen krijgen, klikken op de foto en je hebt het email adres.
Maar ik ben bang dat dat bij meerdere systemen van de HvA het geval is

Als het echt zo is dat geactiveerde accounts weer geactiveerd kunnen worden en je dus een nieuw ww krijgt dan is dat idd een groot lek en ben ik het met jullie eens
Er zullen binnenkort vast wel meer lekken worden gevonden bij de HvA. Ik heb echt nog geen enkel systeem gezien van hun dat wel goed in elkaar zit.
Ik zal hier later wel inhoudelijk op reageren wanneer het gefixed is...
Zeer netjes van de student om het te melden, en niet te misbruiken. Van zulke hebben we er meer nodig!
Je kunt het netjes noemen, maar ik had in zijn situatie wellicht 2x nagedacht. Ik heb verhalen gehoord van studenten die hier op stuitten, dit meldden bij de softwareontwikkelaar die er verantwoordelijk voor was, en vervolgens zelf gezeik kregen op hun scholeninstelling. Zo heb ik ooit gehoord dat er tegen iemand aangifte werd gedaan die melding maakte van zo'n lek.
Niet leuk. En hoewel de bedoelingen goed zijn houd je in zo'n gevallen ook liever je mond.

Ik vind dat vooral de HvA hier erg professioneel handelt.
En dat is dus inderdaad precies waarom het zo netjes is.
Hij had het lek net zo goed niet kunnen melden (het hoeft dan ook niet meteen misbruikt te worden), want er zit zoals jij zegt een groot risico aan vast.

Het ligt er ook wel aan wat het lek precies is, als het op een plek zit waar de student niet eens hoort te/mag komen, dan is het al een heel ander verhaal dan als hij het vindt tijdens het 'rondzwerven'.
Er is ook nog de mogelijkheid het lek anoniem te melden, heb je wel je morele plicht gedaan maar loop je als melder geen risico.

http://www.hackmeldpunt.nl/

(of 'gewoon' een wegwerpmailaccount maken met tor, etc)
Ik zie niet in waarom je dat 'direct' gaat gebruiken om een hack of kwetsbaarheid gaat melden. Dat zou ik gebruiken wanneer het bedrijf/persoon/instelling geen gehoor geeft aan het probleem. De student heeft netjes de IT-afdeling van de school op de hoogte gebracht van het lek en daarmee is zijn morele verplichting toch wel voldaan.

Had de HvA nu gezegd: "Ja, dat kost te veel geld dat gaan we niet direct oppakken" dan had ik er wel heil in gezien dat de student even snel de melding plaatst. Nu niet.
Ik bedoel dus anoniem melden als alternatief voor niet melden, omdat je met 'gewoon' melden het risico loopt op vervolging of op z'n minst gezeik met je opleiding in het geval de school er niet sportief op reageert (en ik kan je vertellen, andere scholen reageren gemiddeld veel minder netjes dan de HvA, zeker als je ook kijkt naar MBO's of middelbare scholen)
Hopelijk hackt iemand hackmeldpunt.nl om de CSS te veranderen ... witte text op groene achtergrond kan gewoon niet. :+
Dan had ik toch liever meer zulke leeraren gehad, dan leren ze ook nog eens wat!
Dan had ik toch liever meer zulke leeraren gehad, dan leren ze ook nog eens wat!
Tja, maar leraren krijgen niet genoeg betaald as it is, dus iemand die snapt wat ie doet op security vlak beland toch meestal wel in het vak om daar een stuk meer geld te verdienen.
Nee die mening deel ik niet,zie namelijk steeds meer specialisten een intrede maken in de publieke sector. Je doet iets voor de maatschappij,en dat geeft je meer voldoening dan je met euro's kunt kopen.
Knap gedaan in zijn eerste week. Onbegrijpelijk dat instellingen het zo slecht op de rails hebben staan, dat deze gegevens blijkbaar zo makkelijk aangepast kunnen worden.
Ze hebben bij de HVA wel meer dingen niet op orde....

Ze laten studenten een contract tekenen (m.b.t. collegegelden e.d.) waarin vervolgens voor het privacy-reglement naar de DLWO wordt verwezen... waar ze later pas een login voor krijgen.

Verder gebruiken ze nog andere stukke meuk zoals codeplus, waarin sommige oefenpagina's Java én Flash tegelijk eisen! Flash om geluid af te spelen en Java om geluid op te nemen. Buiten het feit dat het niet werkt op een mac is het ook nog eens een enorm veiligheidsrisico om Java te draaien in je browser. Daarbij is de Java applet niet/foutief gesigned en wordt er geen https gebruikt.
Euhm, wat? Ik ben net als de student deze week ook aan informatica begonnen aan de hva. En ik heb geen enkel document over de DLWO moeten tekenen. Login kreeg ik een aantal weken nadat ik me had aangemeld voor de studie. Toen was ik überhaupt nog maar 1 keer op de hva geweest, en dat was voor de Open Dag.
Ook gebruikt de school Netbeans, en ben je verder zelf vrij in welke IDE je gebruikt. Klopt dus helemaal niets van je verhaal. Misschien wat Inholland-jaloezie?
Dit was voor een contract om een jaar Taal & Schakel te volgen. Daarin moest je akkoord gaan met de privacy-voorwaarden waarbij verwezen werd naar de DLWO.
Als tweede jaars student op het HvA ben ik nooit verwezen naar het DLWO behalve om wat regels te lezen of om online het studiegids, tentamen rooster of vak inhoud te bekijken van stof die je aan het eind van het blok moet hebben geleerd en ook kunnen door het vak. Nooit heb ik iets moeten tekenen op het DLWO dus ik geloof dat jij of een hele oude student bent of gewoon slap uit je nek staat te lullen. Het DLWO is daar puur voor informatie voorziening, waar de pientere student, Sander, echter heeft staan rond neuzen is SIS. Dit is het systeem wat wijd wordt gebruikt voor cijfers en (her)tentamen inschrijvingen o.a. Het DLWO heeft voor zover ik weet niks te maken met de server waarop SIS wordt gerund.
Ik heb nergens beweerd dat je OP het DLWO iets moet tekenen.
Ik zei dat er in het contract wat wij ontvangen hebben verwezen werd naar de DLWO voor het privacy-reglement.

Dit gaat om m'n echtgenote en ik heb het nieuwe contract vorige week in m'n handen gehad.
Snap niet wat Netbeans ermee te maken heeft? Laat staan dat je reactie Misschien wat Inholland-jaloezie? niet al te netjes is als je het mij vraagt.
Het is misschien handig om te weten dat elk instituut op de HvA onderling afzonderlijke organisaties zijn die niet op dezelfde wijze opereren. Zo zal een student van 1 van de informatica opleidingen een hele ander beeld hebben dan jij schetst.
en opnieuw overheid en ICT...

het blijft fascinerend hoe dit telkens keer op keer fout gaat. En er door mensen beslissingen worden genomen die daar totaal niet schikt voor zijn.

En als het nou een basisschool was met een systeem beheerder die dit erbij deed dan had ik daar nog begrip voor. Maar een HBO instituut waar voornamelijk WO opgeleid persooneel rond loopt...

Waarom is er niet een landelijk systeem voor dergelijke scholen? Je gaat toch niet elke school -tig keer het wiel opnieuw laten uitvinden? Beter een keer goed investeren in 1 (werkend)systeem dan 30 keer half.
Wat heeft de overheid te maken met de systemen die scholen gebruiken?
Hoge scholen krijgen een x bedrag per afgestudeerde student vanuit de overheid. Dat is het. Of vind je ook dat wanneer je ambtenaar bent en dus via de overheid je salaris krijgt, de overheid dus ook moet bepalen wat je wel en niet mag inkopen van jouw geld?
als het zo ondeugelijk is als dit (want het blijft publiekelijk geld) wel.

Een school kan wel een bedrijf zijn maar als dat bedrag per student omlaag kan en dat ook nog eens een beter product op leverd waarom niet?

Daarnaast heeft de overheid behoorlijk veel te zeggen binnen dergelijke instituten en is vaak (zoals bij de HvA) de gemeente een groot aandeelhouder.

[Reactie gewijzigd door downcom op 5 september 2014 16:46]

Nee. De HvA is een stichting, en stichtingen hebben per definitie geen aandeelhouders.
Wat dacht je van dat scholen autonome instellingen zijn en zelf over hen eigen bedrijfsvoering gaan en dat niks de scholen tegenhoud om wel de samenwerking aan te gaan.

Wanneer de overheid voor alle scholen bv de portaal functie gaat regelen krijg je weer een monopolie en afhankelijkheid van een leverancier. Als je meerdere leveranciers aanhoud dit meer regie gaat eisen de overheid hier de mensen niet voor heeft immers minder ambtenaren is het motto.

Maw het is allemaal wat complexer, een school moet instaat zijn de eigen bedrijfsvoering efficiënt en goed te regelen indien dit soort incidenten vaker voorkomen heb je voldoende toezicht organen van de overheid die hierop actie ondernemen.
Leuk gedaan in ze eerste week, enge is wel, als het zo makkelijk te benaderen is, hoeveel mensen hebben het niet gemeld de afgelopen jaren.
Dat zou best wel eens mee kunnen vallen. Dit jaar is een deel van de HvA DLWO gemigreerd van sharepoint 2010 naar 2013. Als de bug alleen in de sharepoint 2013 implementatie zit, dan is deze:
A: pas 5 dagen online
B: alleen beschikbaar op ca 2 van de 7 lesdomeinen

[Reactie gewijzigd door Illusion op 5 september 2014 16:23]

Studenten van vorig(e) jaar/jaren schijnen er ook van te weten.
Zit er nog veel maatwerk (webparts, BCS, apps) in SP2013 of is het een vanilla installatie met enkel cosmetische aanpassingen?
Wauw, respect voor het vlug melden van deze "exploit".

Denk dat ik heel erg in dubio zou zitten :+
Ik zou ook in dubio zitten. Want volgens mij zijn er meerdere gevallen bekend van mensen die ook als "greyhat hacker" (dus met goede bedoeling, maar zonder toestemming) iets dergelijks hebben gedaan, maar als nog in de gevangenis zijn beland.

Zie bijvoorbeeld deze AMA op Reddit
En dan sta je op Tweakers...
Lijkt me vrij positief punt voor op je CV. Gefeliciteerd :Y)
Geheel terecht toch?
Niet aan mij om te beoordelen :P

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True