'Ernstige beveiligingslekken in digitale schoolomgeving UvA'

De digitale schoolomgeving die wordt gebruikt op de Universiteit van Amsterdam (UvA), een aangepaste versie van webportaal Blackboard, bevat grote beveiligingslekken.

Dat stellen Bram ter Borch en Auke Zwaan, twee studenten aan de UvA die voor hun studie onderzoek deden naar de beveiliging van Blackboard op de universiteit.

Zij presenteerden hun bevindingen naar eigen zeggen al in mei van vorig jaar aan de ICT-afdeling van de UvA, maar deze zou onvoldoende hebben opgetreden om de gevonden lekken te dichten. Ter Borch en Zwaan besloten daarom om hun onderzoek alsnog te publiceren.

Volgens het duo bevat de aangepaste versie van Blackboard waarop studenten en docenten van de UvA inloggen enkele opzichtige beveiligingsrisico’s. Zo worden gebruikers na het beveiligde inlogscherm doorgestuurd naar een onversleutelde webpagina, die kwaadwillenden over zouden kunnen nemen.

Ook zouden de ingevoerde wachtwoorden dusdanig zwak versleuteld en beveiligd zijn dat deze eenvoudig kunnen worden gekraakt. Er zat bijvoorbeeld geen limiet op het aantal inlogpogingen vanuit één ip-adres. Ook kunnen wachtwoorden van gebruikers worden gewijzigd zonder dat daarvoor het oude wachtwoord vereist is. 

Zwakke wachtwoorden

Ter Borch en Zwaan konden via hun eigen account op Blackboard bovendien een lijst uitdraaien met daarop de gegevens van 143.000 accounts, inclusief voor- en achternaam en bijbehorend e-mailadres. Zij kwamen er vervolgens achter dat bij veel van deze accounts het wachtwoord hetzelfde was als de gebruikersnaam.

Op die manier kregen zij toegang tot bijna 11.000 accounts, waaronder een testaccount met vergaande toegang tot de Blackboard-omgeving, waarmee zij nog niet afgenomen examens konden bemachtigen.

De twee studenten wisten ook met succes malafide code in veelbezochte pagina’s te injecteren, zoals de introductiepagina van een bepaald vak. Via deze code konden zij de accounts van deze bezoekers overnemen en acties namens hen uitvoeren.

Reactie UvA

In een reactie op het gepubliceerde onderzoek laat UvA-woordvoerder Annelies van Dijk weten dat Blackboard in de zomer van 2016 een upgrade heeft gekregen en dat sindsdien regelmatig verdere patches worden doorgevoerd. "Met dit soort updates proberen we dit soort gaten te voorkomen."

Van Dijk erkent dat nog niet alle lekken die Ter Borch en Zwaan aankaartten, zijn gedicht. Maar ze betwist hun conclusie dat de UvA zijn informatiebeveiliging niet serieus neemt. "Het heeft continu onze aandacht."

Lees meer over:
Tip de redactie