Studenten ontdekken ernstig datalek in Blackboard
Twee UvA-studenten hadden vorig jaar toegang tot tienduizend user accounts in het Blackboardsysteem van de UvA. Ook is het ze gelukt om niet gepubliceerde examenvragen te achterhalen. De UvA is volgens hen dichtbij een ernstig datalek en doet te weinig om dit te verhelpen.
Met meer dan dertigduizend studenten is de UvA de grootste gebruiker van Blackboard in Nederland. De UvA gebruikt het voor het inschrijven voor vakken, het publiceren van examenresultaten en het delen van studieinformatie. Voor UvA-studenten System & Network Engineering Auke Zwaan en Bram ter Borch was het in april 2016 reden om te onderzoeken hoe hackgevoelig het systeem was.
Na een paar weken kwamen ze met een lijst van kwetsbaarheden. Zo werd de inlogpagina van Blackboard via het beveiligde https aangeboden, terwijl ze na inloggen automatisch naar een open http-pagina werden gestuurd. ‘Het bleek dat het op geen enkele manier mogelijk was om veilig in te loggen,’ schrijft Zwaan op zijn blog.
De accounts van studenten die op een openbaar wifi-netwerk zitten, zoals in de trein of in een café, konden daardoor door de hackers makkelijk worden overgenomen. Vervolgens bleek je de wachtwoorden van die accounts te kunnen veranderen zonder het oude wachtwoord in te voeren. Uiteindelijk hadden de studenten zichzelf administrator van het volledige UvA-Blackboard kunnen maken, stellen ze.
Privacy
Eind mei vorig jaar presenteerden ze hun bevindingen aan het management van de ICT-afdeling van de UvA. In september zei de UvA dat de problemen waren opgelost, maar de hackers konden nog steeds bij bijna alle gegevens komen.
Nadat de UvA niet meer antwoordde op verzoeken van de hackers om er wat aan te doen vroegen ze advies aan de ethische commissie van hun opleiding en besloten ze hun rapport openbaar te maken. ‘Niemand gaf ook maar iets om de privacy van studenten en we kregen meer en meer het sterke vermoeden dat ze gewoon wilde wachten tot het nieuwe platform, CanvasHet is de bedoeling dat Canvas in 2018 Blackboard zal vervangen. zou worden ingevoerd,’ aldus Zwaan.
‘De communicatie had inderdaad beter gemoeten,’ laat een UvA-woordvoerder weten. ‘We hebben het lek wel proberen te verhelpen, maar het klopt dat er niet goed is gereageerd op de studenten.’
Bugs
De UvA zegt in de zomer na de melding van Zwaan en Ter Borch het systeem te hebben geüpdatet. In maart dit jaar heeft de universiteit bugs uit het systeem gehaald. In juli dit jaar zal dat nog een keer worden gedaan. ‘Dit soort software is altijd te hacken, maar we proberen het steeds zo dicht mogelijk te zetten,’ aldus de woordvoerder.
Volgens Zwaan en Ter Borch was het lek de laatste keer dat ze het bekeken nog niet gedicht. Ze vrezen dat het lek in Blackboard slechts het topje van de ijsberg is en er meer UvA-software slecht beveiligd is.
