Eerder dit jaar ontdekte informaticastudent Sander de Vos een privacylek in de digitale leer- en werkomgeving van de HvA. Dit weekend ontdekte hij met medestudent Tijme Gommers een nog veel groter datalek op de beveiligde gedeeltes van de site van de HvA én de UvA.
Wat hebben jullie ontdekt?
‘De inlogpagina’s van de HvA en de UvA heb- ben een zwakke SSL-implementatie. Daardoor zijn de gegevens die daarmee worden verstuurd niet veilig. Om dat aan te tonen hebben we een eigen wifinetwerk aangemaakt. Als we op dat netwerk zitten, kunnen we een zogeheten man in the middle-aanval inzetten. Daarmee zien we de gebruikersnaam en het wachtwoord van iedere student en docent op dat netwerk die probeert in te loggen op de HvA- of de UvA-site.’
De UvA- en de HvA-inlogpagina’s zijn dus zo lek als een mandje?
‘Nou, de website van de UvA is nog wel redelijk goed beveiligd, alleen niet goed genoeg voor dit soort aanvallen. De site van de HvA was toen we die testten een farce. Inmiddels is de ICT-afdeling volop aan het updaten. Maar we kunnen de sites nog steeds makkelijk lekschieten. We hebben de ICT vast een rotweekend bezorgd, want zaterdagnacht om twee uur kregen we melding van de eerste update van de beveiliging.’
Je zou toch denken dat ze na het eerste lek grondig naar de beveiliging van hun sites zouden kijken.
‘Ja, eigenlijk wel. Ik heb ICT er ook direct van op de hoogte gebracht. Ze hebben pas deze maandag contact met ons opgenomen. Dat is eigenlijk onverantwoord.’
Is het moeilijk om dit op te lossen?
‘Het is juist heel gemakkelijk. Ze moeten gewoon hun implementatie updaten en een aantal beveiligingsprotocollen instellen. Dan zijn ze klaar.’
Wat hebben jullie ontdekt?
‘De inlogpagina’s van de HvA en de UvA heb- ben een zwakke SSL-implementatie. Daardoor zijn de gegevens die daarmee worden verstuurd niet veilig. Om dat aan te tonen hebben we een eigen wifinetwerk aangemaakt. Als we op dat netwerk zitten, kunnen we een zogeheten man in the middle-aanval inzetten. Daarmee zien we de gebruikersnaam en het wachtwoord van iedere student en docent op dat netwerk die probeert in te loggen op de HvA- of de UvA-site.’
De UvA- en de HvA-inlogpagina’s zijn dus zo lek als een mandje?
‘Nou, de website van de UvA is nog wel redelijk goed beveiligd, alleen niet goed genoeg voor dit soort aanvallen. De site van de HvA was toen we die testten een farce. Inmiddels is de ICT-afdeling volop aan het updaten. Maar we kunnen de sites nog steeds makkelijk lekschieten. We hebben de ICT vast een rotweekend bezorgd, want zaterdagnacht om twee uur kregen we melding van de eerste update van de beveiliging.’
Je zou toch denken dat ze na het eerste lek grondig naar de beveiliging van hun sites zouden kijken.
‘Ja, eigenlijk wel. Ik heb ICT er ook direct van op de hoogte gebracht. Ze hebben pas deze maandag contact met ons opgenomen. Dat is eigenlijk onverantwoord.’
Is het moeilijk om dit op te lossen?
‘Het is juist heel gemakkelijk. Ze moeten gewoon hun implementatie updaten en een aantal beveiligingsprotocollen instellen. Dan zijn ze klaar.’
