‘Digitale schoolomgeving UvA heeft ernstige beveiligingslekken’

SHA1-hashingalgoritme, cybercriminelen

Volgens twee studenten van de Universiteit van Amsterdam (UvA) zitten er ernstige beveiligingslekken in de digitale schoolomgeving van de Universiteit. Voor hun opleiding deden ze onderzoek naar de beveiliging van Blackboard op de universiteit. De schoolomgeving die de school gebruikt is een aangepaste versie van Blackboard.

Bram ter Borch en Auke Zwaan publiceerden hun bevindingen, omdat de bestuursraad van de UvA naar hun mening onvoldoende heeft opgetreden om de lekken te dichten. De bevindingen presenteerden de twee naar eigen zeggen al in mei vorig jaar aan de bestuursraad.

Een van de problemen is dat je na het beveiligde inlogscherm wordt doorgestuurd naar een niet-versleutelde webpagina. Een hacker zou die over kunnen nemen. De ingevoerde wachtwoorden zijn volgens de studenten bovendien zo zwak versleuteld en beveiligd dat ze gemakkelijk kunnen worden gekraakt. En die wachtwoorden zouden ook nog eens gewijzigd kunnen worden zonder dat daar het oude wachtwoord voor nodig is.

Toegang tot 11.000 accounts

Nog veel opzienbarender is dat Ter Borch en Zwaan via hun eigen account op de leeromgeving een lijst konden uitdraaien met daarop de gegevens van 143.000 accounts. Daarbij stonden ook de voor- en achternaam van de gebruikers en de bijbehorende e-mailadressen.

De twee studenten ontdekten vervolgens dat het wachtwoord bij veel van de accounts hetzelfde was als de gebruikersnaam. Daardoor kregen ze toegang tot bijna 11.000 accounts, onder meer tot een testaccount met vergaande toegang tot de Blackboard-omgeving. Daar stonden bijvoorbeeld nog niet afgenomen examens.

Verder was het mogelijk om malafide code toe te voegen aan veelbezochte pagina’s, bijvoorbeeld de introductiepagina van een bepaald vak. Daarmee konden de studenten de accounts van bezoekers overnemen en namens hen acties uitvoeren.

UvA

De UvA heeft tegenover NU.nl laten weten dat de leeromgeving afgelopen zomer een upgrade heeft gekregen. Sindsdien worden er volgens woordvoerder Annelies van Dijk ook regelmatig patches doorgevoerd. Wel erkent ze dat nog niet alle lekken die Ter Borch en Zwaan vonden gedicht zijn. Maar informatiebeveiliging heeft wel “continu onze aandacht”, aldus Van Dijk.