Beveiligingslek Magister: schoolmails konden jarenlang onderschept worden

School, Magister

In de schoolsoftware Magister zat een beveiligingsprobleem waardoor het jarenlang mogelijk was om e-mails van en naar leerlingen te onderscheppen. Beveiligingsonderzoeker Bram Matthys ontdekte het lek. Het lek is inmiddels gedicht door leverancier Iddink, meldt NU.nl.

Ruim 500 scholen in Nederland gebruiken de software. Met de software worden onder meer schoolgegevens als roosters getoond. Leerlingen kunnen daarnaast aan de hand van een e-mailadres van school e-mailen. De webpagina’s van Magister zijn versleuteld, maar dat bleek niet het geval bij de e-mails die met de software verstuurd werden.

Het was daardoor mogelijk om de e-mails te onderscheppen en te lezen als er op het netwerk ingebroken werd. Volgens Matthys kunnen op die manier bijvoorbeeld cijfers die per meer gedeeld zijn openbaar worden.

‘Klein risico’

Toch kon je niet zomaar bij de e-mails komen. Daarvoor moet je in het netwerkpad tussen de mailserver van de softwaremaker en die van de school zitten. Dit kan wel, maar dan moet je bijvoorbeeld een router hacken of een apparaatje op de lijn plaatsen. De kans zou dan ook niet zo groot zijn dat een willekeurige student dit voor elkaar krijgt.

Iddink vond het risico van het lek dan ook niet zo groot. En er zijn volgens woordvoerder Pieter Dubois geen signalen geweest dat er “onrechtmatige toegang tot het e-mailverkeer van Magister vanuit een of meerdere scholen is geweest”.

Matthys denkt echter wel dat er een serieus risico was. “Malware, zoals VPNFilter, infecteerde eerder bijvoorbeeld een half miljoen routers wereldwijd. Deze malware had ook code om netwerkverkeer mee te onderscheppen.” Hij meldde het lek bovendien al in 2016, maar kreeg toen geen reactie. Het probleem is nu pas, na meerdere meldingen, opgelost.