De websites van de Universiteit van Amsterdam (UvA) en Hogeschool van Amsterdam (HvA) zijn kwetsbaar door een oud ssl-certificaat, waardoor inloggegevens kunnen worden buitgemaakt.

Dat melden twee studenten van de HvA aan Folia, het gratis weekblad voor studenten van de HvA en UvA. Een ssl-certificaat versleutelt gegevens en laat zien dat de gebruiker een beveiligde verbinding met een website heeft. 

De twee studenten gebruiken een Raspberry Pi-minicomputer om een van het eduroam afgeleid netwerk aan te maken, waardoor het voor studenten en docenten lijkt alsof ze met het wifi-netwerk van de HvA en UvA zijn verbonden.

Vervolgens 'strippen' de studenten de verouderde ssl-certificaten van de inlogpagina's van de hogeschool en universiteit, waarbij het ssl-certificaat wel aan de gebruiker wordt getoond maar geen data versleutelt. Hierdoor kunnen de gebruikersnamen en wachtwoorden worden buitgemaakt.

Alle inloggegevens

"Stel je voor dat we ons netwerk ‘eduroam’ hadden genoemd. Alle studenten en medewerkers loggen daar nietsvermoedend op in, waardoor we al hun HvA- en UvA-inloggegevens hadden kunnen inzien", vertelt de student tegen Folia.

De twee studenten hebben de kwetsbaarheid aan de ict-afdeling van de UvA en HvA gemeld, maar krijgen sinds september van dit jaar geen antwoord meer. 

Volgens HvA-woordvoerder Meike Verhagen is het niet mogelijk om op te maken of deze "kwetsbaarheden in het beveiligingsniveau van de websites van de UvA en de HvA bij deze aanval een rol hebben gespeeld".

Verhagen erkent wel dat de ssl-beveiliging kwetsbaarheden kent.