Een beveiligingsprobleem bij schoolsoftware Magister maakte het jarenlang mogelijk om e-mails van en naar leerlingen te onderscheppen.

Het lek, dat door beveiligingsonderzoeker Bram Matthys ontdekt werd, is inmiddels gedicht door leverancier Iddink.

De software van Magister wordt gebruikt door meer dan vijfhonderd scholen in Nederland. Hiermee worden onder meer schoolgegevens, zoals roosters en informatie over huiswerk, getoond. Ook kunnen leerlingen met behulp van een schooladres e-mailen.

Hoewel de webpagina's van Magister met versleuteling beveiligd zijn, was dat niet het geval bij de met de software verstuurde e-mails. Kwaadwillenden die op het netwerk inbraken, konden hierdoor de e-mails onderscheppen en lezen.

Schoolcijfers op straat door beveiligingsprobleem

Volgens Matthys kunnen hierdoor bijvoorbeeld cijfers die per mail gedeeld zijn openbaar worden. "Dat kan leiden tot reputatieschade van de getroffen personen", aldus de onderzoeker. "Stel je voor dat op deze manier de schoolcijfers van onze koning of een minister op straat komen te liggen."

Niet iedereen kon zomaar bij de e-mails, benadrukt Matthys tegenover NU.nl. "Om dit te onderscheppen moet men zich in het het netwerkpad tussen de mailserver van de softwaremaker en die van de school bevinden. Daarvoor moet iemand dus wel moeite doen, zoals een router hacken of een apparaatje op de lijn plaatsen." De kans dat een willekeurige student hierin slaagt, zou vooralsnog klein zijn.

Dat was ook een van de redenen waarom Iddink het risico van het lek niet groot vond. Volgens woordvoerder Pieter Dubois kunnen meestal alleen netwerkbeheerders van scholen bij het mailverkeer. "In de tussenliggende periode zijn overigens geen signalen ontvangen dat er onrechtmatige toegang tot het e-mailverkeer van Magister vanuit een of meerdere scholen is geweest".

Hoewel een aanvaller moeite moet doen om in te breken op het netwerk en de e-mails te onderscheppen, denkt Matthys alsnog dat er een serieus risico bestond. "Malware, zoals VPNFilter, infecteerde eerder bijvoorbeeld een half miljoen routers wereldwijd. Deze malware had ook code om netwerkverkeer mee te onderscheppen."

Twee jaar geleden gemeld bij Iddink

Matthys kwam het lek in 2016 voor het eerst op het spoor, waarna hij melding deed bij Iddink. Hij ontving toen geen reactie. Pas na meerdere meldingen werd het beveiligingsprobleem in 2018 opgelost.

"Wij onderkennen dat onze communicatie onder de maat is geweest", vertelt Dubois aan NU.nl. "Bram Matthys heeft zijn bevindingen meermaals met ons gedeeld en wij zijn daarover niet goed met hem in contact getreden en gebleven. Wij hebben hem daarvoor onze excuses aangeboden."

In het afgelopen jaar is Iddink begonnen met de uitrol van versleuteling voor de maildiensten. Die is op 1 augustus voltooid.