HvA beveiligingslek

Lek in leeromgeving Hogeschool Amsterdam gaf toegang tot cijfers

10-09-2014 - Sander de Vos


Op donderdag 4 September vonden we een groot privacy- en beveiligingslek bij de Hogeschool van Amsterdam. Aanvankelijk werd eerst gedacht dat het enkel om een privacylek ging dat het mogelijk maakte om 3000 pasfoto’s van medestudenten te downloaden, maar al snel werd duidelijk dat er met die data veel meer gedaan kon worden.


VLO

VLO is de Leeromgeving van de HvA (heb ik me laten vertellen). Niemand weet helemaal zeker waar de V in VLO precies voor staat. Het zou zomaar eens Vrolijke Leeromgeving kunnen heten.

In de VLO zat een privacylek dat het mogelijk maakte met wat programmeerkennis een JSON bestandje aan te maken met daarin de voor en achternamen, pasfoto’s, HvA-ID’s en e-mailadressen van studenten.

Omdat ook wij een HvA-pas nodig zullen hebben om deel te mogen nemen aan de tentamens op de HvA waren we daar niet zo blij mee. Het ongevraagd publiceren van een pasfoto moet echt niet kunnen. Om het even te verduidelijken: een pasfoto is een foto die bedoeld is voor een ID-kaart of een paspoort. Dit is niet een random Facebook foto. Ook wordt er bij het verstrekken van een pasfoto voor een HvA-pas niet gevraagd of deze nog voor andere doeleinden gebruikt mag worden. Zonder toestemming gaat jouw pasfoto een schoolsysteem in waar je vervolgens zelf totaal geen controle meer over hebt.


HvA-ID wachtwoorden resetten

Nadat Tijme en ik de som 1+1 hadden uitgerekend kwamen we er al snel achter dat met de data van het privacylek veel meer gedaan kon worden. Wanneer een inschrijving wordt bevestigd op de HvA krijgt een student meteen een HvA-ID toegestuurd die hij/zij vervolgens moet activeren. Al snel kwamen we tot de conclusie dat het activeren van een HvA-ID ook kon worden misbruikt om iemands HvA-ID wachtwoord te resetten op basis van de data van het privacylek. Direct daarna zijn we aan de slag gegaan om het beveiligingslek te melden.


Van het kastje naar de muur

Na 8 keer te zijn doorverwezen en 2 keer gebeld te hebben kwamen we bij de juiste persoon terecht die de ernst van het beveiligingslek wél begreep. Dit is overigens ook logisch: niet iedereen bij zo’n grote organisatie heeft IT-kennis. Na het lek gedemonstreerd te hebben werd er gezegd dat er direct achteraan gezeten zou worden. Dit is ook gebeurd: het beveiligingslek is meteen (tijdelijk) gedicht en ook het privacylek was al snel opgelost. Nu hebben alleen docenten nog toegang tot de gegevens van studenten. De HvA is op het moment van schrijven nog bezig om het beveiligingslek netjes en volledig op te lossen. Daardoor is het voor nu niet mogelijk om een HvA-ID online te activeren, hiervoor moet een student tijdelijk naar de servicedesk.


Twitter en de media

Ik zelf zet alles op Twitter waarvan ik denk dat mensen het grappig of interessant kunnen vinden. Dit doe ik volledig op persoonlijke titel en ik ben me er van bewust dat sommige mensen hier op sommige momenten minder blij mee zijn. Dat is het mooie van Twitter: je kan zonder al teveel moeite gehoord worden door personen en bedrijven. Dat heeft op zich vrij weinig met dit verhaal te maken, maar dat is mijn mening. Al snel werd ik gecontacteerd door Foliaweb nadat ik de volgende tweet had verstuurd:


Foliaweb wou een paar vragen stellen over het beveiligingslek dat we hadden gevonden. Natuurlijk stemde ik hiermee in maar gaf ik wel aan dat ik geen details kon vrijgeven voordat het lek daadwerkelijk gedicht was. Dit deed ik overigens uit mezelf. Ik ben niet gevraagd om hierover mijn mond te houden. Sindsdien staat de telefoon roodgloeiend en is het artikel verschenen op Tweakers, Het Parool (online en offline), AT5, HanzeMag, Sensor Magazine, The Post, RTV Ronde Venen, Peters Hotnews en vooral op Twitter en Facebook.




Onze mening

Naar onze mening heeft de HvA snel en adequaat gehandeld bij het oplossen van het privacy en beveiligingslek. Ze hebben het lek hartstikke serieus genomen en hebben er echt werk van gemaakt. Wij zijn van mening dat menig bedrijven hier nog het een en ander van kunnen leren.


Dit blog item is geschreven om het een en ander te verduidelijken en te voorkomen dat er online een verkeerd beeld wordt geschept. Wij zijn niet gevraagd dit te doen. Als dit wel zo zal zijn dan zouden jullie dat allang op Twitter hebben gelezen :-)