RTL Nieuws: lek in server met privégegevens van kinderen

Door een bekende kwetsbaarheid in ssl 3.0 zijn de vorderingen van vrijwel alle kinderen op de basisschool wekenlang inzichtelijk geweest. Desondanks zou er geen misbruik zijn gemaakt van het lek, zo meldt RTL Nieuws vrijdagavond.

Het lek zat in een server die uitgevers gebruiken voor Basispoort, een softwareprogramma waarin de prestaties van basisschoolleerlingen worden opgeslagen. Dat programma is van een gezamenlijke stichting van uitgevers Malmberg, Zwijsen, ThiemeMeulenhoff en Noordhoff.

Een ict-expert tipte RTL Nieuws, die erachter kwam dat het om een bekend lek ging. Het Nationaal Cyber Security Center waarschuwde daar vorige maand al voor. Het gaat om de bug Poodle, een kwetsbaarheid in het ssl 3.0-protocol. Veel browsers en servers zijn daarvoor vatbaar, omdat ze nog steeds de achttien jaar oude versie ondersteunen.

Hoewel het probleem al enkele weken bekend is, werd het lek volgens RTL Nieuws donderdagmiddag pas gedicht. Er zou die tijd geen ongeoorloofd gebruik zijn geconstateerd. Alleen internetgebruikers van verouderde besturingssystemen en browsers, zoals Windows XP en Internet Explorer 6, waren kwetsbaar.

Het is de tweede keer in één week tijd dat Basispoort in het nieuws is. Eerder gebeurde dat al nadat bleek dat de genoemde uitgevers de vorderingen van vrijwel alle kinderen verwerken met hun software, terwijl ze daarvoor geen toestemming vroegen aan ouders. De vorderingen worden met naam en toenaam opgeslagen.

Reacties (103)

xzaz 28 november 2014 21:07

Ik heb meerdere keren met basispoort moeten werken en het zit allemaal heel brak in elkaar. Helaas komt dit systeem wel uit de noodzaak dat leerkrachten niet honderden keren de namen hoeven in te voeren en dat een uitwisselingssysteem zoals edex helemaal uit de jaren 0 is.

Voorbeeld van een zwakte is de overweging tussen centraal beheer en scheiden van verantwoordelijkheden. De EDEX bestanden worden gesynchroniseerd met bijvoorbeeld parnassys maar bassipoort moet ze weer binnenhalen (ipv de db te gebruiken van basispoort) de gegevens van de kinderen vliegen naar alle systemen die ze nodig hebben.

Vroeger was dit helemaal erg waarbij programma's zoals GEOBAS en Ambrasoft lokale Access databases hadden om de leerling gegevens op te slaan, deze stonden op public shares en konden door middel van een word bestand opslaan en dan te bladeren in de folders gewoon gekopieerd worden. De ophef van dit bericht snap ik dan ook niet helemaal gezien waar we vandaan komen. Basispoort maakt ook gebruik van brakke sessies verspreiden van de wachtwoorden / plaatjes van de kinderen die worden opgehangen in de school.

Er moet gewoon een goed systeem komen dat leerling gegevens kan uitwisselen op een veilig manier waarbij de leerlinggegevens centraal staan. Een mooie taak voor bijvoorbeeld parnassys welke hun zaakjes (na ups en downs) wel op orde blijken te hebben.

[Reactie gewijzigd door xzaz op 30 juli 2024 16:04]

farlane @xzaz • 28 november 2014 21:22

De ophef van dit bericht snap ik dan ook niet helemaal gezien waar we vandaan komen

Dat het in het verleden een drama was, neemt niet weg dat je nog steeds waakzaam moet zijn : het is op het moment nog altijd niet zoals het moet zijn.

Ik kan er niet over uit dat er door de scholen ( de gebruikers van deze systemen ) zo makkelijk en ondoordacht wordt omgesprongen met deze gegevens.

thegve @xzaz • 29 november 2014 01:20

Verschil met Edex is uiteindelijk ook niet zo groot. Edex bevat dezelfde informatie.

WhatsappHack

Beveiliging en antivirus

@xzaz • 29 november 2014 10:46

Reclame much.

Het probleem zit er niet per definitie in dat er geen betere software is, maar dat de scholen verplicht worden om dat ruk pakket te gebruiken. Als dat pakket dan brak in elkaar zit, staat de school met de rug tegen de muur. Ze worden namelijk verplicht het te gebruiken, anders mogen ze het onderwijsmateriaal niet gebruiken. En zonder dat materiaal hebben ze geen lesstof... De school heeft lesstof nodig, anders kunnen ze wel sluiten.
Resultaat: ze gaan akkoord en geven toe aan de chantage.

Mensen klagen dat Google zogenaamd hun monopolie positie misbruikt en inbreuk maakt op de privacy, maar als je even kijkt wat hier gebeurt: dan mag je Google heilig verklaren... Dit is pas een schoolvoorbeeld (no pun intended...) van misbruik van een machtspositie.

En wie zijn er de dupe van? De kinderen.
Kijk, dat die uitgevers eventueel willen bijhouden wat de resultaten zijn na het gebruik van hun lesmateriaal: akkoord. Kan ik me iets bij voorstellen. Maar dan moet die data geheel geanonimiseerd worden, dus geaggregeerde statistieken en geen persoonsgebonden statistieken. Dat laatste is enorm kwalijk, een groot inbreuk op de privacy: en gezien de uitgevers deze gegevens ook doorverkopen is het al helemaal extreem gevaarlijk.
Dit MOET een halt toegeroepen worden, punt.

Dat er een goed systeem moet komen, al bestaat het al, ben ik eens hoor; maar je moet de situatie wel even goed nuanceren.

[Reactie gewijzigd door WhatsappHack op 30 juli 2024 16:04]

Anoniem: 637390 @xzaz • 30 november 2014 14:09

Ik zal het nog sterker maken, de lui bij Parnassys waren bezig met een platform voor leerlingidentificatie. Het moest destijds gaan werken als een soort open-id systeem waarmee aangesloten partijen vrijwel geen data kregen anders dan strikt noodzakelijk voor het doen van bijvoorbeeld lesoefeneningen.
Het is echter nooit zo ver gekomen, de uitgevers vonden het maar niks want ze hadden er geen controle over. Uiteindelijk is het hele project gestopt omdat er te weinig partijen gevonden konden worden die mee mee wilden doen. Direct daarna is men gestart met basispoort, dat in essentie hetzelfde is alleen veel meer data vereist en in handen is van de uitgevers.

Slurpgeit 28 november 2014 20:56

Ohja, dat onwijs theoretische lek wat praktisch totaal niet rendabel is. Oh wacht, privégegevens van kinderen, kielhalen die beheerders!

Foamy @Slurpgeit • 28 november 2014 22:17

Wacht even hoor.. Ik snap dat Poodle niet bepaald een big deal lijkt te zijn, maar in sommige gevallen kan dit toch best een lompe manier zijn om tot toegang tot gevoelige gegevens te krijgen...

In dit specifieke geval is er dan net bekend dat gegevens van allerlei leerlingen zonder expliciete toestemming worden verwerkt en opgeslagen. Combineer dit met Poodle en je zou zomaar van een volledige school (bijvoorbeeld de Openbare Bloemcampschool in Wassenaar), de gegevens van alle leerlingen kunnen meelezen, zonder dat dit opvalt.

Ja, dit is theoretisch. Moeten we het daarom maar accepteren?

Anoniem: 547741 @Foamy • 29 november 2014 07:58

Ik zie er eerder een probleem in dat wie te lui is om Poodle te patchen misschien wel veel meer niet gepatched heeft, en de betreffende server nog wel eens veel meer gaten zou kunnen hebben. In de praktijk kom ik dat vaak tegen.

djwice

@Anoniem: 547741 • 29 november 2014 15:28

Ik heb net kinderen op school, en merk keer op keer hoe slecht systemen beveiligd zijn. Van de site van de school fotograaf tot aan leerling volgsysteem. Veel vertrouwelijke data gaat via http. Veel, zo niet alles, is alleen afgeschermd door links te verbergen.
En persoonsgegevens zijn keer op keer met url-nummer wijzigen te verkrijgen.

En dan heb ik het over systemen die geleverd worden door bedrijven die al jaren lang aan honderden scholen online diensten leveren. Als je het ontwikkelteam van zo'n systeem vraagt of ze simpelweg OWASP kennen is het "de wat?". Laat staan dat ze weten dat hun server sotware aanzienlijk wat patches nodig heeft. Hoewel je die ongepatchte vulnerabilities vaak niet eens nodig hebt om de data buit te maken...

[Reactie gewijzigd door djwice op 30 juli 2024 16:04]

Crazy Harry @Slurpgeit • 28 november 2014 21:55

Privegegevens van kinderen die verplicht (dmv chantage) afgegeven zijn voor het systeem.
Ieder miezierig feitje waarbij blijkt dat die gegevens ook maar een schijn van kwetsbaarheid tonen, is wat mij betreft nieuws wat breed uitgemeten moet worden.
Simpelweg omdat het monopolistische gedrag van de bij basispoort aangesloten uitgevers moet stoppen.

Luukje01 @Slurpgeit • 28 november 2014 21:00

haha dat was mijn eerste reactie ook. ik vind dit niet een -1 reactie.

Ik vind het eerlijk gezegt komkommer nieuws; dit is nieuws dat je wist dat er zou komen ...

djwice

@Luukje01 • 28 november 2014 22:00

Het gaat hier wel om naam, geboorte datum en geslacht, en school waar ze op zitten incl. klas. En die data staat daar zonder toestemming van ouders.

Ik kan er naast zitten maar via een man in the middel zou je toch ook de connectie van moderne browser kunnen down graden in de handshake?

Slurpgeit @djwice • 28 november 2014 23:14

Voordat iemand dit praktisch uit kan buiten moet hij al controle hebben over het verkeer, wat praktisch neerkomt op een rogue access point of iets in die geest. Als je al toegang hebt tot het netwerkverkeer op zo'n niveau, dan is deze kwetsbaarheid uitbuiten wel het laatste wat je doet. Je kan namelijk ook al DNS responses spoofen, ARP poisonen, SSL strippen, of simpelweg een fake certificaat tonen. Allemaal aanvallen met minder moeite en evenveel (of zelfs meer) resultaat.

WhatsappHack

Beveiliging en antivirus

@Slurpgeit • 29 november 2014 10:25

Dat is niet helemaal waar natuurlijk... Het gaat hier om scholen, voornamelijk basisscholen. Die hebben vaak geen state of the art netwerk. Toegang tot 1 computer in 't gebouw of een open/slecht beveiligd WiFi netwerk en je kan in principe POODLE al toepassen... Je hoeft dus geen toegang te hebben tot het netwerk waar de servers staan, je kan de login gegevens gewoon buitmaken via het netwerk van de gebruiker; in plaats van de servers.

Dat noem ik niet bepaald minder moeite dan de methodes die jij opnoemt.
Als je eenmaal de login gegevens te pakken hebt is het koekje eitje om de gegevens in te zien en te downloaden.

Slurpgeit @WhatsappHack • 29 november 2014 10:50

Ja, maar dat is mijn punt ook. Als je al toegang hebt tot dat netwerk, dan zet je gewoon SSLstrip aan. Ik kan me namelijk niet voorstellen dat ze kwetsbaar zijn voor POODLE, maar wel netjes DE HSTS header hebben toegepast. Met SSLStrip heb je namelijk gelijk resultaat en toegang tot gegevens.

Met POODLE moet je eerst het verkeer onderscheppen, dan downgraden naar SSLv3, dan het verkeer aanpassen, en dan heb je met maximaal 256 requests 1 byte van het cookie gedecrypt. Dat moet je dan vervolgens weer opnieuw doen voor alle bytes die je wil decrypten. En dan heb je (als dat allemaal lukt) uiteindelijk alleen maar een session-id te pakken, die waarschijnlijk na een tijdje gewoon verloopt.

Dat wil natuurlijk niet zeggen dat het niet gepatched hoeft te worden, maar nogmaals, als je al op een dusdanige manier controle over het verkeer tussen gebruiker en server hebt kan je met veel minder moeite al inloggegevens (echte inloggegevens, dus geen session-id) onderscheppen.

Overigens is basispoort blijkbaar ook kwetsbaar voor XSS, en zijn de cookies ook niet allemaal voorzien van HttpOnly en Secure flags. Dat lijkt me een veel groter issue..

[Reactie gewijzigd door Slurpgeit op 30 juli 2024 16:04]

strigi @Luukje01 • 29 november 2014 00:45

Wie weet wat er in de toekomst allemaal met die gegevens gedaan wordt?

https://www.youtube.com/watch?v=cLvu_bPqaL0
https://en.wikipedia.org/wiki/Examination_Day

Armin @Luukje01 • 9 december 2014 23:35

Ik vind het eerlijk gezegt komkommer nieuws; dit is nieuws dat je wist dat er zou komen ...

Het probleem is meer dat als men deze bekende en in de security wereld uitgebreid besproken bug niet gefixt heeft, men waarshcijnlijk andere bugs ook niet fixt ...

Zo zal men de gisteren gevonden TLS variant van POODLE (= software implementaties die de in TLS padding vereiste gewoon niet controleert ook al zou dat wel moeten) ook hebben. Dan ben je met TLS 1.2 ook nog lekker kwetsbaar....

Thekilldevilhil 28 november 2014 20:56

"Het lek zat in een server die uitgevers gebruiken voor Basispoort, een softwareprogramma waarin de prestaties van basisschoolleerlingen worden opgeslagen. Dat programma is van een gezamenlijke stichting van uitgevers Malmberg, Zwijsen, ThiemeMeulenhoff en Noordhoff."

Zijn we met zijn alle gek geworden dan. Wat moeten die uitgevers met de uitslagen van kinderen? Zijn er ouders die dit weten of doen de scholen dit gewoon maar.

EDIT: "Eerder gebeurde dat al nadat bleek dat de genoemde uitgevers de vorderingen van vrijwel alle kinderen verwerken met hun software, terwijl ze daarvoor geen toestemming vroegen aan ouders. "

Ik las te weinig ik dacht te veel. Vraag blijft nog steeds waarom die organisaties deze info willen hebben. Gerichte reclame aan kinderen voor leerboeken? Idiote ontwikkeling. Ik ken iemand bij thieme dus tijd voor een mailtje.

[Reactie gewijzigd door Thekilldevilhil op 30 juli 2024 16:04]

ari @Thekilldevilhil • 28 november 2014 21:27

Mocht je het daadwerkelijk willen weten, een goede reden is weten hoe je oefenmateriaal wordt gebruikt. Met die informatie kun je prachtige analyses maken om de opgaven precies af te stemmen op het niveau van het kind. Ook kun je eventuele foutieve opgaven (die bovengemiddeld vaak 'fout' beantwoord worden) er snel uit filteren en bijwerken.

Een softwarepakket kan veel grondiger analyses uitvoeren op grote hoeveelheden data dan de leerkracht in de klas en extra oefening bieden voor onderdelen waar het kind moeite mee heeft. Als je direct kunt inspelen op een veelgemaakte fout dan voorkom je dat die inslijt en later veel meer moeite kost om te corrigeren.

Of dit daadwerkelijk gebeurt is een tweede en uiteraard zijn er allerlei bezwaren te bedenken met betrekking tot de privacy. Ik probeer hier uitsluitend weer te geven wat zo'n systeem te bieden heeft.

DarkForce @ari • 28 november 2014 21:43

Direct inspelen op veel gemaakte fouten? Zekers niet, daar gaat minstens één heel schooljaar overheen. Als een opdracht eenmaal gemaakt is, is deze afgesloten tenzij er teveel fouten gemaakt worden door de leerling, dan dient deze opnieuw te worden verricht.

Rest alleen de vraag, wil ik dit als ouder überhaupt wel hebben? Er zijn zo al enkele mogelijkheden denkbaar wanneer deze gegevens op straat komen te liggen.

SirBlade @DarkForce • 29 november 2014 18:22

Niet direct misschien, maar wel voor de volgende groep leerlingen die zelfde oefeningen gaat maken. Misschien is de vraag niet duidelijk genoeg of moet er eerst meer geoefend worden.

Welke mogelijkheden zijn er als er op straat komt te liggen dat een bepaalde basisschoolleerling een fout maakte bij een toets? Of hun persoonsgegevens? Wat kan een crimineel op korte termijn doen met de persoonsgegevens van een minderjarige?

DarkForce @SirBlade • 30 november 2014 15:27

Ik heb het niet over criminele activiteiten, wel dat het anderen niets aangaat dat mijn zoon slimmer of dommer zou zijn dan de rest van zijn klas.

We hebben nu al een enorme verdeeldheid in onze maatschappij, nu al beslissen ouders op basis van huidskleur of hun kind(eren) met anderen mogen spelen. Nu al zie je dat er onder volwassenen een enorme onderscheid is tussen hoge en lage bevolkingsgroepen etc. Het nadeel is daarnaast dat je nu al ziet dat pesten/treiteren in flinke hoeveelheden plaatsvind op scholen, ook omdat de gepeste bijvoorbeeld anders is dan de rest of minder goed leert.

Als gegevens over hoe goed/slecht een leerling presteert op straat terecht komt, is de kans des te groter dat een groep ouders hier op gaan inspelen.

En trouwens, een zware crimineel hoeft misschien niets aan die details te hebben. Een licht crimineeltje zou de gegevens misschien wel eens kunnen zien als, hey ... moeilijk lerend in hoeverre is dit kind beïnvloedbaar en kan ik deze vuile karweitjes laten opknappen als in .... winkeldiefstal etc.

Feit blijft overigens, mijn opa en oma zijn er nooit slechter van geworden wat betreft hun opleiding. Mijn moeder, ooms, tantes etc. evenmin. Ikzelf ben daarnaast ook niet slechter geworden van mijn basisonderwijs en vervolg onderwijs. Er zijn landen waar hun onderwijs net zo goed is of zelfs beter dan dat van Nederland waarbij het geheel niet afhankelijk is van computers en het lesmateriaal op die computers. Maar als je maar wat vaak blijft roepen dat het voor het verbeteren van lesmateriaal betreft gaan mensen het blijkbaar geloven zoals ze wel vaker achter de grote horde aanlopen.

ari @DarkForce • 30 november 2014 14:07

Ik stel alleen wat de potentie is, niet of de uitgevers daar op dit moment gebruik van maken. Het zal gerust zo zijn dat sommige uitgevers het web alleen gebruiken als soort digitaal werkblad en daar verder niets mee doen. Dat is inderdaad zonde.

'Adaptive testing' (ook wel IRT of item response theory genoemd) kan hier uitstekend ingezet worden. Aan de hand van je vorige antwoorden kan bepaald worden op welk niveau je presteert en daar op inspelen bij de selectie voor de volgende opgave.

Denk aan de juf die je extra minsommen gaf om mee te oefenen als je daar niet zo goed in was; alleen dan 'achter de schermen' en met de mogelijkheid om het moeilijkheidsniveau steeds aan te passen. Zo kun je er voor zorgen dat het kind voldoende succeservaringen ervaart (de opgave goed maakt) om gemotiveerd te blijven en tegelijkertijd voldoende (extra) oefening krijgt in de zwakkere onderwerpen.

Toekomstmuziek? Neem een kijkje op Rekentuin, daar wordt dit al gebruikt.

Ethirty @ari • 29 november 2014 12:44

Ook kun je eventuele foutieve opgaven (die bovengemiddeld vaak 'fout' beantwoord worden) er snel uit filteren en bijwerken.

Goed idee, laten we de vragen makkelijker maken in plaats van het onderwijs beter. Wat schiet de maatschappij daar op lange termijn nu helemaal mee op?

ari @Ethirty • 30 november 2014 13:51

Ik doel hier op opgaven met een fout erin, of met een foutief antwoordmodel; een daadwerkelijk foutieve opgave dus. Bijvoorbeeld omdat degene die de opgave invoerde een typfout gemaakt heeft (23 + 8 = 13 bijvoorbeeld). Vooral als een leerling direct feedback krijgt kan zo'n opgave tot frustratie leiden.

batjes @Thekilldevilhil • 28 november 2014 21:10

Ik heb ook digitale schoolboeken meuk van o.a. noordhoff(icm met meuk van Van Dijk EDU, welke niets doen in basisonderwijs afaik). Opdrachten zitten daarin verwerkt, en dan dus ook de resultaten. Als je die e-learning niet gebruikt komen je resultaten daar ook niet in.
Zal niet anders zijn voor de basisschool e-boeken.

Goron @Thekilldevilhil • 28 november 2014 21:40

Dit was eerder in het nieuws: nieuws: Basisscholen verstrekken privégegevens kinderen aan softwareontwikkelaars

Ze 'verplichten' de scholen hun de gegevens te geven omdat ze anders geen digitale toegang krijgen tot lesinformatie. Leuke manier van zakendoen :x

Anoniem: 399807 @Thekilldevilhil • 29 november 2014 16:09

Ja we zijn met ons allen gek geworden. Alles moet nu via ICT geregeld worden. Waarom? Niemand vraagt zich nut en noodzaak af.

Jij vraagt je af wat uitgevers met die gegevens moeten. Ik vraag me af waarom we überhaupt onderwijs interconnectief moeten regelen.

Ik heb nooit ICT gehad in de school en zie hoe grondig ik nog vragen kan stellen waarom een zwart schoolbord vervangen moet worden door een of ander scherm.

Wat, omdat het moderner is? Kids leren niet eens meer fatsoenlijk lezen of schrijven. Terug naar een zwart schoolbord, krijt en alle PC's weg uit de klas.

Met pc leren omgaan? Offline, in een aparte ruimte.

mddd @Thekilldevilhil • 29 november 2014 20:51

Vraag blijft nog steeds waarom die organisaties deze info willen hebben.

Dat is nogal simpel. Dit zijn allemaal uitgevers van lesmethoden voor onderwijs. Bij elke lesmethode hoort tegenwoordig ook computer-oefenmateriaal. Dus de kinderen leren in de klas bijvoorbeeld breuken, en kunnen daar dan mee gaan oefenen op de computer. De resultaten van die oefeningen worden opgeslagen, zodat de leerkracht er inzicht in heeft hoe goed het kind de stof beheerst. En ook of het kind bijvoorbeeld een halfuur heeft zitten niksen of juist de opgaven heel snel af had.
Dit opslaan gebeurt blijkbaar centraal op de servers van deze uitgevers. Dat is op zich ook een logische keuze, want het is een stuk makkelijker voor een school om te zorgen dat ze een werkende internetverbinding hebben, dan dat ze hun eigen servers moeten beheren voor het opslaan van deze informatie.
Dus op zich helemaal niet raar allemaal. Maar je mag wel van ze verwachten dat ze de beveiliging vervolgens serieus nemen,

[Reactie gewijzigd door mddd op 30 juli 2024 16:04]

FreshMaker @Thekilldevilhil • 29 november 2014 09:50

Ik las te weinig ik dacht te veel. Vraag blijft nog steeds waarom die organisaties deze info willen hebben. Gerichte reclame aan kinderen voor leerboeken? Idiote ontwikkeling. Ik ken iemand bij thieme dus tijd voor een mailtje.

Heb je de betreffende organisaties al gesproken ?
Misschien kan die partij je uitleggen waarom dat nodig is.

In plaats van in een verhitte discussie met termen te gooien die het geheel alleen nog maar aanwakkeren.

Thekilldevilhil @FreshMaker • 29 november 2014 09:54

Die heb ik gemailt maar het is weekend weet je wel

FreshMaker @Thekilldevilhil • 29 november 2014 09:59

Dus, wacht je niet even op een reactie ?

We leven niet allemaal in een twitter/facebook economie
( en ik mag zo gewoon werken, EN mailtjes beantwoorden, dus dat is ook geen excuus )

nee, niet voor deze organisatie

Thekilldevilhil @FreshMaker • 29 november 2014 10:09

Ik werk ook gewoon elk weekend door...
Maar ik vind dat je een beetje aan het zeuren bent. Buiten het feit dat dit niet de eerste keer dat het in het nieuws is en iedereen (scholen, uitgevers) weigert antwoord te geven. Er zijn hier zoveel verhitte discussies, daar is dit gedeelte voor bedoelt, als je daar last van hebt moet je het vooral niet lezen.

[Reactie gewijzigd door Thekilldevilhil op 30 juli 2024 16:04]

DrBreakalot 28 november 2014 20:58

Door een bekende kwetsbaarheid in ssl 3.0 zijn de vorderingen van vrijwel alle kinderen op de basisschool wekenlang inzichtelijk geweest.

Alleen internetgebruikers van verouderde besturingssystemen en browsers, zoals Windows XP en Internet Explorer 6, waren kwetsbaar.

Dus niet vrijwel alle kinderen, maar alleen kinderen met ouders die zeer sterk verouderde software gebruiken?

Timo002 @DrBreakalot • 28 november 2014 21:05

Nee, bijna alle scholen maken gebruik van uitgevers doe de gegevens weer bij basispoort opslaan. Niet alle basisscholen, dus bijna van alle kinderen in NL. Basispoort is degene met de lek.

Mensen met XP en IE6 zijn tevens vatbaar voor hetzelfde lek als basispoort!

Miks @Timo002 • 28 november 2014 21:25

Wilco heeft gewoon gelijk. Het is niet dat iemand ALLE gegevens van ALLE kinderen kon bekijken. Dus dit nieuws is storm in een glas water imho.

DarkForce @Miks • 28 november 2014 21:51

Waarom moet het om alle gegevens gaan? Laat ik even een simpel voorbeeldje aanhalen. Oeps, SSL is misbruikt. De gegevens zijn buitgemaakt en staan nu op internet.

"Hey krijg nou wat, het rapport van Miks zijn zoon/dochter is in de afgelopen 3 schooljaren enorm slecht. Het kind is trouwens ook wel heel erg slecht en wel in rekenen en taal. Hmmm, ik kan maar beter zeggen dat mijn zoon niet met jou zoon/dochter speelt, misschien wordt ie daar ook wel een dombo, sukkel of mongool door. Dat jij zo'n dombo met je partner hebt kunnen verwekken zeg poeh poeh."

Even als simpel voorbeeld (geen feit dus) en ook niet persoonlijk op jou gericht maar puur als simpel voorbeeldje hoe je zulke gegevens kunt misbruiken tegen jou in persoon alsmede je eventuele kind(eren), maar het kan dus indien zulke gegevens openbaar worden weldegelijk het leven van jou, je gezin en vooral je kind beïnvloeden als het terecht komt in onjuiste handen. Er is nu al een enorme verdeeldheid in de maatschappij tussen volwassenen. Tussen kinderen speelt er al jaren het e.e.a.

Zulke informatie hoeft niet opgeslagen te worden, en al helemaal niet bij een stichting die wordt gerealiseerd door een aantal commerciële bedrijven die maar één ding voor ogen heeft "geld, geld, geld".

Laat ze zich nou eerst maar eens richten op betere onderwijs, er zijn landen waar het onderwijs vele malen beter voor elkaar is en zelfs daar is lang niet altijd een computer voor nodig gebleken. Het grappige van het lesmateriaal middels computers (die tevens ook de uitkomsten berekenen), je zou mogen verwachten dat leerkrachten plots minder werk hebben echter is er i.p.v. dat ze 1 uur eerder naar huis kunnen (na schooltijd), dit juist 2 uur later worden.

Feit blijft trouwens wel; het gaat niet om de hoeveelheid gegevens die worden opgeslagen. Maar om het feit dat gegevens zonder medeweten van ouders/verzorgers wordt opgeslagen en daarvoor nimmer enig toestemming is verleend en dit de veiligheid van het kind zekers niet ten goede zal komen.

[Reactie gewijzigd door DarkForce op 30 juli 2024 16:04]

Miks @DarkForce • 28 november 2014 23:06

Je haalt er een hele hoop bij. Maar de aard van dit 'lek' is absoluut niet iets ernstigs. Vervelend wel, maar niet schokkend.

Timo002 @Miks • 29 november 2014 00:08

"Niet ernstig of schokkend"...? Hoe zou jij het vinden als jou medische gegevens zonder jou medeweten de in het patiënten dossier zitten en die server lek is waardoor jou medische gegevens gestolen konden zijn? Vind je dat ook niet ernstig of schokkend?

Miks @Timo002 • 29 november 2014 01:34

Het is niet heel schokkend nee, zowel het risico als de impact van Poodle is niet groot. Resultaat kan dus ook niet enorm zijn.

Tenzij iemand een targeted attack uitvoert. Maar juist dan is die waarschijnlijk effectiever als deze zich richt op de menselijke factor, een mitm is dan denk ik al veel meer werk dan even kijken naar rondslingerende passwords, phishing, of even iemands wachtwoord raden.

En welke hacker wil resultaten van basisschool leerlingen inzien? Valt vrij weinig geld meee te verdienen, dan kan je beter een nieuwe cryptolocker maken imho.

Oftewel dit nieuwsbericht is een storm in een glas water.

thegve @Timo002 • 29 november 2014 01:13

Het punt is, dat er niets daadwerkelijk gelekt is. Er is een "risico op" dat er iets lekt.
Deze software word typisch vanaf school PC's gebruikt. Ik werkte zelf tot voor kort in deze branch en schat dat inmiddels 95% Windows 7 heeft. Met Windows 7 is dit lek behoorlijk lastig om te misbruiken, zeker in verhouding tot andere manieren van aanvallen ( keyloggers, trojans, etc. ).
Mocht je een leerling account dan daadwerkelijk weten te kraken, dan ben je nog niet erg ver, want behalve de resultaten van het pakket waar je dan in zit, zie je niet echt veel. Hiervoor zul je in de leerkrachtenmodule moeten komen.
Die is sinds een jaar of 10-15 ook wel digitaal en theoretisch hackbaar, maar dat staat hier weer los van.

DarkForce @Miks • 29 november 2014 03:46

Ah, dus omdat er (vooralsnog) niets is gelekt is er geen reden tot paniek?

Vind ik dus wel, het zijn mijn kinderen en ik bepaal wel waar hun gegevens wel of niet aan worden doorgegeven. Een beetje 'fatsoenlijk' ouder denkt hier hetzelfde over. Als (basis)onderwijs nu al even lukraak wat gegevens elders deponeerd hebben ze direct een vrijbrief om dit in de toekomst met meerdere zaken te doen.

We praten hier niet over een GGD (schoolarts) o.i.d. we praten hier over een stichting die financieel in de lucht wordt gehouden door commerciële bedrijven die nota bene toegang hebben tot deze data zogenaamd onder het mom om hun producten te verbeteren.

Ik kijk verder dan het lek die er was, wat niet is kan nog komen. En sure, da's overal het geval maar hierop heb je als ouder invloed. Zo wordt a.s. maandag de naam van mijn zoon uit dat systeem gehaald !

Miks @DarkForce • 29 november 2014 11:56

Niet zozeer omdat er nog niets is gelekt, eerder omdat er amper gelekt kan worden. Volgens mij begrijp je niet helemaal wat poodle is.

DarkForce @Miks • 29 november 2014 19:49

Ik kijk ook niet naar Poodle, ik kijk naar het totaalplaatje. Ik heb het nergens over Poodle gehad. Mij gaat het om het systeem in zijn geheel.

Nu liggen er nog geen gegevens op straat etc. maar als we moeten wachten tot het fout gaat dan ben je als ouder(s) verkeerd bezig. Het gaat om leerlingen (kinderen) waarbij de verantwoordelijkheid omtrent privacy bij ouders en school liggen. Blijkbaar kunnen diverse scholen niet overweg met dit stukje verantwoordelijkheid maar dan is het nog aan de ouder(s) om hier bezwaar tegen te tekenen.

Miks @DarkForce • 29 november 2014 20:05

Dat is dan ook een hele andere discussie. Misschien zelfs niet juist want je weet ook niet zeker dat er slecht wordt omgegaan met de privacy. Dat het bedrijf een audit heeft gedaan laat mij zelfs het tegenovergestelde beweren.
En dan wil ik je graag eerst als mede-tweaker vragen om te stoppen met deze ongefundeerde stemmingmakerij.

DarkForce @Miks • 30 november 2014 00:04

Dat is dan ook een hele andere discussie.

Het is nog altijd onderdeel van de algehele discussie rondom 'Basispoort' en zelfs in het artikel zelf wordt hier nogmaals op gewezen.

. Misschien zelfs niet juist want je weet ook niet zeker dat er slecht wordt omgegaan met de privacy.

Weet ik wel, die partij heeft n.l. geen toestemming van mij gehad om de gegevens van mijn kinderen op te slaan en dus is er geen privacy waar ze voor staan. Net zo min als de school waarop mijn kinderen zitten overigens, in dit geval dus een fout bij 2 partijén!

[quoteDat het bedrijf een audit heeft gedaan laat mij zelfs het tegenovergestelde beweren.[/quote]
Ik heb niets te maken met het audit, ik heb te maken met het feit dat ze zonder toestemming opslaan. Easy as that.

En dan wil ik je graag eerst als mede-tweaker vragen om te stoppen met deze ongefundeerde stemmingmakerij.

Zie boven, niet ongefundeerd feiten en dat is waarover ik het heb.

Miks @DarkForce • 30 november 2014 01:10

Oké, nog 1 reactie op jou, de laatste, om je hopelijk ervan te overtuigen dat er niks aan de hand is. Ik snap jouw bezorgdheid, maar Basispoort is niet degene die je moet hebben.

als we moeten wachten tot het fout gaat dan ben je als ouder(s) verkeerd bezig

Er gaat niks fout bij Basispoort. Alles is veilig daar voor zover bekend, afgezien van de mogelijkheid op een zeer geavanceerde aanval (MITM). Er is werkelijk geen enkele reden om je zorgen te maken over Poodle, tenzij je reden hebt om aan te nemen dat je (of je kind) doelwit bent (is) van vakkundige hackers. En dan nog kan er alleen wachtwoord en gebruikersnaam bekend raken. GEEN verdere gegevens van je kinderen voor wat betreft basispoort.

als we moeten wachten tot het fout gaat dan ben je als ouder(s) verkeerd bezig

Simpelweg niet meer inloggen bij basispoort is genoeg. Wachten is dus het beste

Ik heb niets te maken met het audit

Ja, eigenlijk wel. Want de mensen van de audit weten er meer van dan jij (neem ik aan uit jouw correspondentie). Heb vertrouwen

Het is nog altijd onderdeel van de algehele discussie rondom 'Basispoort' en zelfs in het artikel zelf wordt hier nogmaals op gewezen

De privacydiscussie rondom Basispoort heeft niks te maken met Basispoort. Basispoort zelf slaat geen gegevens op. Ik denk dat je het een en ander door elkaar haalt met de uitgevers.

Dus richt je woede tot de uitgevers, niet tot basispoort. Zie ook http://www.nrc.nl/nieuws/...orgespeeld-aan-uitgevers/

Timo002 @Miks • 28 november 2014 21:32

Nee, want Wilco stelt dat het alleen de kinderen zijn die zeer verouderde software hebben. Maar die 2 staan los van elkaar!

Miks @Timo002 • 28 november 2014 23:04

Hoe hij er komt klopt niet inderdaad. Maar zijn conclusie wel.

arjankoole @Miks • 29 november 2014 00:03

Hoe hij er komt klopt niet inderdaad. Maar zijn conclusie wel.

nee, zijn conclusie heeft niets met dit lek te maken. Het heeft te maken met wie / hoe vatbaar is voor de oorzaak van dit lek, namelijk een issue in SSL v3.

Ook gegevens van kinderen die de allernieuwste browswer, die alleen TLS 1.0, 1.1 en 1.2 accepteerd, met forward security, secure key renegotiation, en alle andere toeters en bellen die boeiend zijn lagen op straat.

Soldaatje @arjankoole • 29 november 2014 00:43

en alle andere toeters en bellen die boeiend zijn lagen op straat.

Correctie: het lek is niet misbruikt geweest, voor zover bekend.

Ik zag eerst het verband niet maar als ik het goed begrijp ondersteund de server SSL 3, echter kan dit lek alleen worden misbruikt als verbindingen met deze versie worden afgetapt.
En om het nog moeilijker te maken worden deze verbindingen alleen opgezet met XP met IE6 omdat die geen hogere versies ondersteunen.

Dus dan moet een aanvaller sowieso een mitm kunnen uitvoeren en dat is volgens mij helemaal niet makkelijk bij een gemiddelde server.
Aan de andere kant als deze mitm aanval wel lukt dan is het niet heel moeilijk om het verkeer dat gebruik maakt van SSL 3 te onderscheppen.

Echter dan heb je alleen maar de inlog van een willekeurige client, tenzij Basispoort gebruik maakt van een client-account voor alle scholen, dat zou erg stom zijn. Dus dan moet je tijdens het afluisteren ook nog het geluk hebben dat er een beheerder inlogt met XP en IE6 om bij alle data te kunnen, dat lijkt me zeer sterk.
Als mijn bovenstaande verhaal klopt is de kans op misbruik hiervan erg klein geweest, en is dit en het artikel van RTL stemmingmakerij.

Edit: @Tozz: Bedankt voor de aanvulling/uitleg!

[Reactie gewijzigd door Soldaatje op 30 juli 2024 16:04]

Tozz @Soldaatje • 29 november 2014 01:20

Ik ben het met je eens dat het stemmingmakerij is. Maar je verhaal klopt verder niet helemaal. Het probleem met SSL 3 is vooral dat het mogelijk is om verkeer tussen de server en de client een klein beetje aan te passen, waardoor SSL 3 geforceerd wordt ookal kan de client een betere encryptie aan.

Kortom, de eis voor IE is niet van toepassing. Het kan ook een recente browser zijn waarbij verkeer tussen de client en de server wordt gemodificeerd zodat deze SSL3 gaan praten. Vervolgens kan dan (inderdaad, erg theoretisch) het verkeer worden bekeken.

Dit lek is in mijn optiek zwaar overdreven, want verkeer aftappen (Man in the middle) attack is niet zo eenvoudig als het vaak wordt gesteld. Zeker niet op een bedrade omgeving zoals op een basisschool vaak het geval zal zijn.

WhatsappHack

Beveiliging en antivirus

@Tozz • 29 november 2014 10:32

Dit lek is in mijn optiek zwaar overdreven, want verkeer aftappen (Man in the middle) attack is niet zo eenvoudig als het vaak wordt gesteld. Zeker niet op een bedrade omgeving zoals op een basisschool vaak het geval zal zijn.

Que? Want?
Verkeer aftappen is een van de meest simpele handelingen die er is, zowel op bedraad als WiFi... Juist op basissccholen die geen uitgebreid netwerk hebben maar gewoon een redelijk standaard netwerk om een paar PC'tjes en een WiFi verbinding te onderhouden. Dan kom je vaak al een heel eind.

djwice

@Tozz • 29 november 2014 15:37

School binnen lopen tijdens pauze, zwarte overal aan met ICT er op. En lokaal binnen lopen apparaatje tussen utp, of even usb er in die zodra ingelogt wordt achter het verkeer omleidt.
Maar in veel scholen is gewoon wifi aanwezig hoor, voor de ipad van de klas/directeur bijvoorbeeld.

Miks @arjankoole • 29 november 2014 01:48

De conclusie was dat niet de gegevens van vrijwel alle kinderen op straat lag. En die is echt wel juist.

Okee, er is iets mis met de versleutelde verbinding. Maar er is echt een behoorlijke ingreep nodig om die fout uit te buiten. Daarnaast, wat levert het nou precies op? Volgens mij alleen NAW gegevens. Maarja, die verkoopt men al snel. Bijvoorbeeld voor kortingen, klantenkaarten of andere acties.

bonus 28 november 2014 20:56

Een ict-expert tipte RTL Nieuws
Hij had natuurlijk ook de meteen makers van Basispoort kunnen informeren, misschien was de waarschuwing van het Nationaal Cyber Security Center niet aangekomen / gehoord...

Foamy @bonus • 28 november 2014 21:26

Gelukkig staan de meeste organisaties er ook om bekend dat ze goed met dit soort meldingen om gaan, en het niet onder het tapijt proberen te vegen. Of de melder direct aan proberen te klagen. Ik kan me goed voorstellen dat de melder dit liever bij een andere instantie doet, die hier vervolgens wel gewoon netjes melding van maakt. Hij had het ook voor zich kunnen houden of kunnen verkopen aan de hoogste bieder...

WhatsappHack

Beveiliging en antivirus

@Foamy • 29 november 2014 10:29

Dit dus.
De meeste white hat hackers riskeren het totaal niet meer om contact op te nemen met het bedrijf dat het lek veroorzaakt.

Dat is het hele trieste gebeuren waardoor het internet nooit helemaal veilig zal worden zolang bedrijven niet gaan inspelen op Responsible Disclosure, aldanniet tegen vergoeding. (Dat laatste is niet vereist, maar wel zo netjes.)

Als een white hat hacker een lek vindt, dit meldt en vervolgens allerlei dreigementen ontvangt is dat niet bepaald een motivering om vaker lekken te rapporteren. Het resultaat is dat het lek onopgemerkt blifjt, en een black hat hacker die dus de intentie heeft om er misbruik van te maken komt het lek later ook tegen: en dan is het al te laat, want die doet geen moeite om het bedrijf te proberen te helpen.

En op die manier veroorzaken dit soort bedrijven zelf dat hun gegevens op straat komen te liggen... Als ze gewoon netjes omgaan met de hackers die het beste voor hebben: dan is er geen probleem.

Het zou ook helpen als het gewoon *niet* strafbaar is om lekken op te sporen zolang je maar geen misbruik maakt. Want in principe ben je nu al strafbaar zodra je kijkt of het lek inderdaad te misbruiken valt en je toegang krijgt, dan heb je immers al ingebroken.
Als je dat doet en vervolgens er niets mee doet en het bedrijf direct op de hoogte stelt: dan zou daar een regeling voor moeten zijn dat je dan totaal geen straf kan krijgen...
Dat zou enorm helpen en de veiligheid op 't internet drastisch verbeteren.

... Maarja, bedrijven houden stug vast dat het slechte PR is, en worden dan liever gehacked door een blackhat en proberen 't stil te houden, dan dat ze het advies van een whitehat opvolgen.

David Mulder @WhatsappHack • 30 november 2014 16:14

Ten eerste zijn dat geen white hat hackers waar je het over hebt, maar gray hat hackers. White hat hackers hebben namelijk toestemming van te voren om te doen wat ze doen, gray hat hackers proberen maar wat. Hoe dan ook, het probleem met het niet strafbaar maken is dat iedere hacker als hij gepakt word zal beweren dat hij alleen bezig was als gray hat hacker, en word hij niet gepakt dan verkoopt hij het lek gewoon via de zwarte markt. Dat geld natuurlijk niet voor lekken die je kunt observeren bij normaal gebruik, maar goed, dat zijn relatief zeldzame dingen.

Wat je eigenlijk zou moeten hebben is dat consumenten zich samen zouden groeperen in een soort consumentenbond en alleen producten gebruiken die geaudit zijn door die consumentenbond. Die bond zou dus voor toestemming van de bedrijven regelen en hackers in dienst hebben en bedrijven die weigeren om die toestemming te geven zouden geboycot worden. Zit dit nu ter plaatse te bedenken, maar dat zou binnen de context van een vrije markt echt de beste manier zijn om dit aan te pakken. Alleen heb ik geen flauw idee of consumenten ooit bereid zouden zijn om aan zo iets mee te doen...

Anoniem: 399807 @Foamy • 29 november 2014 16:05

Ik denk dat als je iets ontdekt, je er melding van maakt bij de betreffende instantie, per brief, met een CC naar het CBP, de politie en eventueel andere belangrijke autoriteiten.

Doen ze niets aan het lek, dan weet iedereen dat. Men kan zich dus niet verschuilen.

Floor 28 november 2014 22:12

Afgelopen week heb ik ze een mail gestuurd met vragen over hun security beleid. Dit kreeg ik als antwoord:

Wij hebben een security audit laten doen om de applicatie te laten testen voordat we van start zijn gegaan. Hieruit zijn extra beveiligings maatregelen genomen die zijn gehertest en akkoord bevonden.

Indien er vanuit technische kanalen beveiligingslekken bekend worden, wordt ook Basispoort hier direct gecontroleerd en waar relevant de applicatie of hardware hierop verder aangepast.

Voor komend jaar staat een hertest op het programma.

Ook willen we erop wijzen dat de privacy gevoelige set informatie met betrekking tot leerlingen beperkt is tot het doel van de applicatie: voornaam, tussenvoegsel, achternaam geslacht en geboortedatum.

Red Boll @Floor • 28 november 2014 22:23

Ook willen we erop wijzen dat de privacy gevoelige set informatie met betrekking tot leerlingen beperkt is tot het doel van de applicatie: voornaam, tussenvoegsel, achternaam geslacht en geboortedatum.
[...]

Huh? Ik neem aan dat er meer in de database staat? Resultaten zijn toch ook/juist privacy gevoelig?

De data nodig voor de leerkracht-module staat in die andere database die wel veilig is?

Maxxi @Red Boll • 28 november 2014 22:33

De resultaten staan niet centraal in Basispoort, wederom het uitgangspunt is een SSO concept. Alleen gegevens (naam, klas etc) met als doel gebruikers aan te maken wordt gesynct. De uitgevers slaan zelf eventueel extra gegevens op om in leekracht-modules te tonen.

Het gebruik van een verouderde ssl-standaard biedt geen toegang tot complete databases.
Er zou in theorie een inlogsessie van een gebruiker overgenomen kunnen worden.
Hiervoor is wel erg specialstische kennis nodig, en tevens toegang tot de internet verbinding van de eindgebruiker.

[Reactie gewijzigd door Maxxi op 30 juli 2024 16:04]

thegve @Red Boll • 29 november 2014 01:25

Basispoort is een noodgedwongen samenwerking tussen uitgevers. Zij willen allemaal eenvoudige toegang tot hun pakketten, en zien in dat het practisch is om daarvoor samen te werken. Hun leerlingresultaten houden ze in ieder geval voorlopig nog angstvallig voor zich. Basispoort is slechts een SSO platform.
DE leerkracht module bestaat dus ook niet, daar zijn er legio van.

DutchDiablo 28 november 2014 23:01

Ik heb nog eens even verder nagedacht dan enkel dit onderwerp en misschien is het ook wel iets waar men zich bewust van moet worden binnen Overheid, Gemeente en scholen.

We zullen hoe dan ook meer zaken aangeboden krijgen vanuit de cloud. Dat is natuurlijk een geweldige ontwikkeling. Maar kennelijk zijn scholen daar dus nog niet klaar voor. Ze maken gebruik van verouderde sotware, patch management 0,0, wie weet wat er allemaal voor spyware, keyloggers en alle andere zaken aanwezig zijn omdat meester of juf niet even te veel op ok hebben gedrukt tijdens een rondje internet.

Scholen moeten het kennelijk zelf bolwerken. Het budget dat zij toegewezen krijgen lijkt mij ook niet bijster hoog. De vraag die bij mij rijst is dan ook, zijn de scholen anno 2014 klaar om op een veilige manier met behulp van de cloud hun scholieren te onderwijzen.

Mijn gevoel zegt van niet. Ik generaliseer maar even want dat is lekker makkelijk. Er zullen best scholen zijn die zich bewust zijn van het belang om alles up-to-date te houden. Maar de reden om niet te patchen/fixen vanwege verouderde OS-en en browsers doet toch echt iets anders vermoeden.

In het geval van Basispoort zijn de scholen kennelijk met de rug tegen de muur gezet, lees hier

Ik heb nog nergens gelezen dat er door de scholen een andere keuze gemaakt kon worden met betrekking tot lesmateriaal. Jullie?

[Reactie gewijzigd door DutchDiablo op 30 juli 2024 16:04]

Maxxi @DutchDiablo • 28 november 2014 23:14

Het probleem dat je beschrijft is precies de markt voor meerdere grote en kleine ict spelers.
Zij bieden omgevingen waar men beheer en support afneemt. Updates, anti-virus en back-up's zijn de minimale basis. Er zijn bijna geen basisscholen zonder beheer contract of een eigen ict afdeling die meerdere locaties van een bestuur onderhouden.

[Reactie gewijzigd door Maxxi op 30 juli 2024 16:04]

Triggernl @DutchDiablo • 29 november 2014 07:47

De keuze in lesmateriaal blijft beperkt aangezien deze een specifieke manier van programmeren inhoud. Scholen zorgen voor brave burgers die luisteren naar overheid en media.
Beter zo snel mogelijk alle scholen afschaffen dan kan er weer wat geleerd worden.

WhatsappHack

Beveiliging en antivirus

@DutchDiablo • 29 november 2014 10:52

We zullen hoe dan ook meer zaken aangeboden krijgen vanuit de cloud. Dat is natuurlijk een geweldige ontwikkeling. Maar kennelijk zijn scholen daar dus nog niet klaar voor.

Waarom is dat een geweldige ontwikkeling...?
Er is helemaal niets geweldigs aan de cloud. Het is ook totaal niet speciaal. Het is ook helemaal niets nieuws... "De cloud" is niets meer dan een marketingterm voor iets dat al jaaaaaren bestond, maar om leken een beetje hitsig te maken voor iets nieuws hebben ze het "the cloud" genoemd en iedereen er helemaal gek mee gemaakt.

Maar vertel eens wat er dan zo super aan is dat er meer dingen vanuit de cloud komen...? Ik zie het juist als een groot nadeel en een steeds groter wordend probleem. (Althans, in 't algemeen; ik heb m'n prive opslag wel...)
Er is niets aan de cloud dat het beter maakt dan andere methoden, en het is vaak nog een stuk onveiliger ook.

Maxxi 28 november 2014 22:07

Het is al vaker gezegd, Basispoort verwerkt geen resultaten, alleen naam en klas.
De uitgevers wisselen resultaten niet uit met elkaar of Basispoort, de resultaten zijn alleen zichtbaar in de leerkracht-module.

Edit: reactie Basispoort http://info.basispoort.nl...basispoort-is-veilig.aspx

[Reactie gewijzigd door Maxxi op 30 juli 2024 16:04]

3dmaster

28 november 2014 22:16

Het enige lekje was dus poodle, nou poeh poeh. Niet meteen het lek waarmee alles op straat zal komen te liggen zoals rtl doet voorkomen.

DutchDiablo 28 november 2014 22:32

Ik heb eens zitten koekeloeren en misschien zouden jullie de volgende verklaring kunnen lezen.

Oordeel daar eens over. Ik kan mij namelijk heel goed indenken dat als iemand een lek ontdenkt, dit wel of niet meld aan Basispoort, dit zeker niet doet voor eigen gewin maar vanwege het maatschappelijk belang. Dit in tegenstelling tot de heren uitgeverijen die dit wel eens even als de donder onder het tapijtje vegen. Ik vind dat de verklaring enerzijds nogal slapjes is en anderszijds zegt men in deze verklaring dat het eigenlijk allemaal veilig is. Ouders hoeven zich nergens druk over te maken want:

Het werken met digitale leermiddelen is alleen mogelijk wanneer de privacy van zowel leerling als leerkracht gegarandeerd is.

en

De GEU is dan ook voortdurend in overleg met verschillende partijen, waaronder het Doorbraakproject Onderwijs & ICT om ervoor te zorgen dat deze privacy goed gewaarborgd is en blijft.

...gegarandeerd is....voortdurend in overleg....goed gewaarborgd is... Dus waarom hebben ze weken geleden dan niet het UTP kabeltje uit het poortjes getrokken of een simpele patch/wijziging doorgevoerd en waarom laten ze scholen met XP en IE 6,7,8 dan toe tot hun portal? Wat zijn hun requirements?

Of het lek nu wel of niet makkelijk te misbruiken valt, daar gaat het hier niet om. Men probeert met woorden de privacy te garanderen. In de praktijk kunnen ze dat kennelijk niet waarmaken. Spijtig maar waar.

"ICT Expert"

, Uitgeverijen

$_/-\o_$ ... Nehh dacht het niet...

Miks @DutchDiablo • 28 november 2014 23:24

Ja ho is even. Veel tweakers vergeten dat er niet zoiets bestaat als 100% veiligheid bij IT. Zo vreselijk is Poodle echt niet. Puur dit bericht wil niet zeggen dat ze laks met privacy zijn omgegaan.

DutchDiablo @Miks • 29 november 2014 00:36

Tuurlijk weet iedere IT-er dat 100% veiligheid niet te garanderen is. Daarom is de tekst ook opgesteld door een niet IT-er lijkt mij. Waar het om gaat is dat er geschreven wordt dat men er alles aan doet om de veiligheid en privacy te waarborgen. Dit is dus niet gelukt, ik kan er niets anders van maken.

In de volgende zin zeg jij dat Poodle niet zo vreselijk is. Dat kan wel zo zijn maar een goedaardig gezwel, hoewel niet gevaarlijk, zou mij toch ook niet helemaal lekker zitten. Er is altijd een risico dat er wat mee gebeurt in de toekomst, hoe klein of groot de kans ook is.
Je kan dus niet zeggen dat omdat iets niet zo erg is, je het dan maar aan je voorbij moet laten gaan. Dat doen wij Nederlanders al vaak genoeg. Behalve als het om Zwarte Piet gaat. Gewoon lekker open laten dat lek, het is niet zo erg want er gebeurt toch niets mee, lijkt mij niet de juiste insteek maar dat is puur persoonlijk.

Dan zeg jij, Wil niet zeggen dat ze laks met Privacy zijn omgegaan. Misschien begrijp ik jou verkeerd maar damn, dat zijn ze dus wel en niet zo'n beetje ook. Ik heb nergens mijn handtekening gezet als ouder, ik ben niet op de hoogtegesteld als ouder. Ik als ouder heb niet de keuze gekregen om de gebruikte informatie tijdens de informatiedeling, hoe miniem en waardevol de informatie wel of niet moge zijn, goed te keuren of er kennis van te nemen.

Het onderwerp wordt hier en daar meer dan nodig opgeblazen, daar moet ik de mensen die het schrijven gelijk in geven. Maar houdt er rekening mee dat dit onderwerp zich nu op het juridisch vlak begeeft. Er worden gegevens uitgewisseld die persoonlijk zijn, hebben ouders of voogden daar een akkoord voor gegeven? Nee. Ook al is dit t.b.v. iets onschuldigs als SSO en ook al worden deze gegevens misschien nooit gebruikt voor andere doeleinden. Er is geen akkoord gegeven, het is niet voorgelegd. Niemand, behalve de Staatssecretaris, het verbond der uitgeverijen en de basisscholen, was op de hoogte hiervan. Dat maakt het een kwalijke zaak. Het volk is niet belangrijk als in zoveel kwesties.

Er zijn hier kennelijk twee fouten gemaakt die makkelijk voorkomen hadden kunnen worden. Dat is mijn mening.

Miks @DutchDiablo • 29 november 2014 01:41

Je vergelijking met een gezwel gaat helemaal mank. Lees je eens goed in in Poodle en kom dan maar terug met vergelijkingen.

Dit bedrijf heeft als klopt wat ze zeggen een security audit gedaan. Dat doen vrij weinig bedrijven.
Je kan je veeeeeel beter druk maken over de veiligheid van apps, die zijn namelijk in 9 op de 10 gevallen zo lek als een mandje. En dan overdrijf ik helemaal niks. Audits bij apps zijn echt uitzondering, er klopt geen reet van de ssl implementatie, alles gaat vaak plain hopsakee over het net en dat zijn nog maar kleine voorbeelden. Poodle is er niks bij.

ManiacsHouse @Miks • 29 november 2014 15:02

Ze zijn wel laks omgegaan met privacy en doen dat nog steeds. De PO-raad maar ook dat rapport van de lakse staatssecretaris geeft diverse waarschuwingen en bedenkingen. En e.e.a. speelde m.b.t. Basispoort volgens mij al in 2013.
Ik heb met de directrice van de school een gesprek gehad hierover en aan de docenten verzocht om er op te letten dat er geen gegevens meer aan de uitgevers worden verstrekt en datgene wat er is verwijderd wordt. Enige reactie die ik van de docenten kreeg was dat ze mijn email-adres hebben verwijderd en ik niet meer kan inloggen op de online leer/leesomgeving van mijn dochter. Zij kan er dus geen gebruik meer van maken thuis.
Mijn vraag om de gegevens bij de uitgever te verwijderen heb ik tot op heden geen reactie op gekregen.
Ik heb richting Zwijsen een mail gestuurd met de vraag over opheldering en welke gegevens zij hebben opgeslagen. Wat denk je? Geen enkele reactie. Niet eens een ontvangstbevestiging o.i.d. Laks en arrogant.

Miks @ManiacsHouse • 29 november 2014 15:37

Dat is wel erg laks inderdaad. Je kan geloof ik een verzoek indienen om al een overzicht te krijgen van jouw data (of de data van het kind waarover je voogdij hebt). Dit verzoek moet voldaan worden geloof ik. Zie meer info hieronder.

https://www.mijnprivacy.n..._inzage/Pages/inzage.aspx

Op dit item kan niet meer gereageerd worden.

RTL Nieuws: lek in server met privégegevens van kinderen

Lees meer

Reacties (103)

Sorteer op:

Weergave: