Overslaan en naar de inhoud gaan

Studenten vinden beveiligingslek in cijfersysteem UVA

De cijfers van 34.000 studenten van de UvA waren door een beveiligingslek in het Student Informatie Systeem (SIS) in te zien door medestudenten. Dat hebben twee studenten van de Universiteit van Amsterdam, Tiko Huizinga en David Garay, van de opleiding Security and Network Engineering ontdekt.
Universiteit van Amsterdam
© Universiteit van Amsterdam
Universiteit van Amsterdam

De twee studenten ontdekten dat via het SIS, het systeem waarin allerhande belangrijke zaken voor studenten worden geregeld, eenvoudig in de cijfers van medestudenten kon worden gekeken. In de URL van de webpagina met het cijfer van een bepaald vak, stond zowel het studentnummer als de vakcode opgenomen. Studenten die waren ingelogd op het SIS konden door het aanpassen van deze onderdelen in de URL eenvoudig overspringen naar de cijfers van medestudenten, zo schrijven ze (pdf).

JavaScript

Beide studenten zeggen dat ze door het aanpassen van de codes in de URL voor korte tijd het cijfer van anderen in konden zien, alvorens ze een foutmelding kregen. Nadat ze JavaScript uitschakelden, bleef deze foutmelding helemaal achterwege en bleef het cijfer zichtbaar voor de twee studenten.

Lek gedicht

Tegenover het studentenmedium Folia verklaren de studenten dat ze het lek hebben gemeld bij het Computer Emergency Response Team van de UvA, en dat het lek inmiddels is gedicht. Ook geven ze aan dat het lek volgens de universiteit niet grootschalig misbruikt bleek. “De UvA heeft aangegeven dat ze onderzoek heeft uitgevoerd en daaruit bleek dat het lek niet grootschalig misbruikt was. Daarom heeft de universiteit besloten niet alle studenten te mailen.” De UvA heeft volgens beiden wel een melding gemaakt bij de Autoriteit Persoonsgegevens.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in