Beheer

Security
UvA logo

Studenten vinden beveiligingslek in cijfersysteem UVA

Cijfers 34.000 UVA-studenten waren eenvoudig in te zien na aanpassing codes in URL.

© Universiteit van Amsterdam
14 juni 2019

Cijfers 34.000 UVA-studenten waren eenvoudig in te zien na aanpassing codes in URL.

De cijfers van 34.000 studenten van de UvA waren door een beveiligingslek in het Student Informatie Systeem (SIS) in te zien door medestudenten. Dat hebben twee studenten van de Universiteit van Amsterdam, Tiko Huizinga en David Garay, van de opleiding Security and Network Engineering ontdekt.

De twee studenten ontdekten dat via het SIS, het systeem waarin allerhande belangrijke zaken voor studenten worden geregeld, eenvoudig in de cijfers van medestudenten kon worden gekeken. In de URL van de webpagina met het cijfer van een bepaald vak, stond zowel het studentnummer als de vakcode opgenomen. Studenten die waren ingelogd op het SIS konden door het aanpassen van deze onderdelen in de URL eenvoudig overspringen naar de cijfers van medestudenten, zo schrijven ze (pdf).

JavaScript

Beide studenten zeggen dat ze door het aanpassen van de codes in de URL voor korte tijd het cijfer van anderen in konden zien, alvorens ze een foutmelding kregen. Nadat ze JavaScript uitschakelden, bleef deze foutmelding helemaal achterwege en bleef het cijfer zichtbaar voor de twee studenten.

Lek gedicht

Tegenover het studentenmedium Folia verklaren de studenten dat ze het lek hebben gemeld bij het Computer Emergency Response Team van de UvA, en dat het lek inmiddels is gedicht. Ook geven ze aan dat het lek volgens de universiteit niet grootschalig misbruikt bleek. “De UvA heeft aangegeven dat ze onderzoek heeft uitgevoerd en daaruit bleek dat het lek niet grootschalig misbruikt was. Daarom heeft de universiteit besloten niet alle studenten te mailen.” De UvA heeft volgens beiden wel een melding gemaakt bij de Autoriteit Persoonsgegevens.

Lees meer over Beheer OP AG Intelligence
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.