HvA-student ontdekt groot datalek in SIS
Software engineer en HvA-student Nelson Berg (20) ontdekte een lek in SIS, het studenteninformatiesysteem van UvA en HvA. ‘Stel je voor dat deze informatie in de handen was gekomen van mensen met minder goede bedoelingen.’
Het lek is inmiddels verholpen, maar volgens Berg hadden de UvA en de HvA ook de studenten over het lek moeten informeren. Dit zeiden ze volgens Berg wel van plan te zijn, maar dat duurde te lang. En dus besloot Berg het nieuws over het lek zelf maar naar buiten te brengen.
Wat was er precies aan de hand?
‘Toen ik me op SIS ging inschrijven voor een herkansing zag ik mijn studentnummer in de zoekbalk staan. Door de studentnummers van andere studenten in te vullen kon ik hun profielen bekijken, inclusief telefoonnummer en pasfoto. Ik bekeek de broncode van de pagina en zag hoe ik op een pagina kon komen waar ik alle studentnummers kon ophalen. Zo kon ik bij de persoonsgegevens van honderdduizenden studenten, niet alleen aan de HvA, maar ook aan de UvA.’
Is dat erg?
‘Die foto’s, studentnummers en telefoonnummers, dat is alle informatie die je nodig hebt om fraude te plegen. Dit soort gegevens wordt op het zogenoemde darkweb gewoon verkocht. Toen ik het ontdekte nam ik het eerst niet serieus, ik dacht “Ach, het zijn maar wat studentengegevens”. Ik besloot het toch te downloaden en ging slapen. Toen ik wakker werd had ik de foto’s van 130.000 studenten op mijn computer staan. Mijn computer werd er traag van en ik ben met het downloaden van de gegevens van UvA-studenten gestopt.’
Is het opgelost?
‘Ik heb een mail aan de ict-teams van de HvA en de UvA gestuurd. Die hadden het in een dag gefikst. Maar ze moesten ook de studenten informeren, want bij datalekken bestaat er een meldplicht. Ze zeiden dit van plan te zijn, maar vervolgens hoorde ik een hele tijd niks en heb ik er zelf een artikel over geschreven op mijn blog.’
Volgens UvA-woordvoerder Kim Janssen heeft de universiteit besloten de studenten niet te informeren omdat er geen aanwijzing was dat de informatie misbruikt of uitgelekt was. Dit is een van de criteria waarmee de Autoriteit Persoonsgegevens beoordeelt. ‘Berg was bovendien ingelogd als student, dus het is niet zo dat iedereen zo makkelijk aan die informatie kon komen,’ aldus Janssen.
Nelson Berg heeft aan de Hogeschool van Amsterdam net zijn eerste jaar van de bachelor software engineering afgerond. Naast zijn studie werkt hij bij een bedrijf dat dat de informatiesystemen van bedrijven controleert op veiligheid. ‘Als een bank bijvoorbeeld een nieuw informatiesysteem heeft, dan sturen ze dat naar ons op en dan gaan wij het proberen te hacken,’ zegt Berg.
Hij ziet vaak dat de systemen van bedrijven niet veilig zijn. Toch was hij boos toen hij het lek ontdekte. ‘Ik heb er een paar dagen niet van kunnen slapen,’ zegt Berg. ‘Als je zo’n groot informatiesysteem schrijft dan voel je je toch verantwoordelijk?’ Veiligheid krijgt volgens hem weliswaar veel aandacht van bedrijven, maar het heeft geen prioriteit. ‘Vaak wordt achteraf pas bekeken of een systeem veilig is.’ Al met al is Berg blij dat het lek snel is opgelost. ‘Wat als deze gegevens publiek waren gemaakt? Het is met een sisser afgelopen.’
