actueel

[Update] Student ontdekt privacylek in HvA-intranet

Henk Strikkers,
5 september 2014 - 15:00
Vier dagen studeert hij pas aan de HvA, maar gisteren ontdekte eerstejaars informaticastudent Sander de Vos (19) al een gigantisch lek in de Digitale Leer- en Werkomgeving (DLWO) van de HvA. Per toeval stuitte hij op foto’s van studiegenoten waarna hij al snel door kreeg dat hij gegevens van alle HvA’ers kon inzien. De Vos meldde het bij de afdeling IT-services van de HvA, die nu druk doende is het lek te dichten. De Vos: ‘Het is echt een grote fout, een privacyblunder.’

Het begon toen hij, nadat hij zich had ingeschreven voor lessen, een beetje rondzwierf door de DLWO van zijn opleiding. De Vos, die met de HvA heeft afgesproken dat hij niet alle details van de werkwijze zal prijsgeven: ‘Ik stuitte op foto’s van mijn medestudenten. En niet veel later bleek dat ik ook bij foto’s van andere studenten kon.’ Het bleek slechts het topje van de ijsberg te zijn.

Wachtwoorden
Uiteindelijk achterhaalde hij naast foto’s ook de volledige namen, e-mailadressen, telefoonnummers, en HvA-inlognamen van eenieder die in de DLWO kon. ‘Als ik op Facebookpagina’s van studenten hun geboortedatum had opgezocht, had ik daarmee hun wachtwoord kunnen resetten,’ vervolgt De Vos. ‘Ik vind het best erg dat de privacy van die studenten en medewerkers zo slecht beveiligd is.’ De Hogeschool van Amsterdam stelt bij monde van woordvoerder Meike Verhagen verrast te zijn door het lek. 'Vooralsnog lijkt het erop dat Sander de enige is die er gebruik van heeft gemaakt, dus dat is nog een geluk bij een ongeluk.' Ze bevestigt dat Sander heeft kunnen inloggen, een wachtwoord heeft kunnen veranderen en daardoor bij cijfers, roosters en andere gegevens van een student heeft kunnen komen. 'We nemen deze gebeurtenis zeer serieus. De privacybescherming van onze studenten is een groot goed,' stelt Verhagen.

Beperkte functionaliteit
Als gevolg van het lek is het vanaf vandaag niet meer mogelijk accounts online te activeren of inloggegevens te wijzigen. Studenten en docenten moeten daarvoor naar de klantenservicebalie. Studenten die problemen hebben met inloggen wordt eveneens gevraagd zich bij die balies te melden. De IT-specialisten van de HvA werken aan een oplossing van het probleem. Dat zal naar verwachting enkele weken duren.



Update 11 september 2014 10:20: Op de site van zijn eigen bedrijf Ucfirst legt Sander de Vos nog eens uit hoe de vork exact in de steel stak en wat hij deed om HvA-ID's te resetten. Hier kun je zijn verhaal lezen.

Lees meer over