Niks meer missen?
Schrijf je in voor onze nieuwsbrief!
Foto: Dirk Wolthekker (Folia)
actueel

Ethische hackers vonden kwetsbaarheid in door UvA gebruikte tentamensoftware

Sterre van der Hee,
15 december 2021 - 13:38

Tienduizenden Nederlandse studenten waren maandenlang te hacken via Proctorio, de antispieksoftware die studenten op veel onderwijsinstellingen verplicht moesten gebruiken bij thuistentamens. Dat blijkt uit onderzoek dat ethische hackers uitvoerden opdracht van RTL Nieuws

Uit het onderzoek bleek dat Proctorio een kwetsbaarheid bevatte waardoor criminelen in theorie codes konden loslaten op websites die gebruikers bezochten, waardoor ze wachtwoorden zouden kunnen onderscheppen, e-mails konden lezen of betalingen konden overboeken. Ontwikkelaars van de proctoringsoftware waren ‘vergeten op een specifieke plek een essentiële beveiliging toe te voegen’, aldus de ethische hackers. De hackers meldden de kwetsbaarheid 17 juni bij Proctorio, op 24 juni was het probleem opgelost. De ethische hackers hebben dit begin augustus bevestigd. 

Foto: Jern Ken Chew
Pjotr van der Jagt, een van de kartrekkers van de proctoringrechtszaak

De UvA gebruikte het proctoringprogramma ProctorioEen proctoringprogramma ‘surveilleert’ via de webcam en microfoon terwijl de student thuis op de computer een tentamen maakt. Proctorio detecteert bijvoorbeeld rondslingerende boeken, mensen in de kamer en toetsaanslagen. veelvuldig voor thuistentamens tijdens de sluiting van onderwijsinstellingen door de coronacrisis, en nog steeds wordt de software op verschillende opleidingen ingezet. Het verplichte gebruik ervan leverde veel kritiek op: zo spande de Centrale Studentenraad met de faculteitsraad van Economie & Bedrijfskunde een kort geding tegen de UvA aan omdat studenten zich onder andere zorgen maakten over hun privacy. Volgens de UvA bestond echter geen goed alternatief voor proctoring dat op dezelfde manier fraude kon voorkomen. De rechter gaf de UvA gelijk, en ook tijdens een hoger beroep stelde het Hof dat de inbreuk op privacy van studenten te rechtvaardigen was door de bijzondere coronasituatie. 

 

Geen hack

De UvA ziet geen reden om te twijfelen aan de veiligheid van het softwareprogramma. Volgens de universiteit zijn er geen indicaties dat de kwetsbaarheid is misbruikt, dat gegevens van studenten op straat zijn beland of dat studenten bespioneerd zouden zijn. ‘De kwetsbaarheid die door de hackers is aangetoond impliceert dat de software in theorie mogelijk misbruikt had kunnen worden,’ zegt woordvoerder Yasha Lange. ‘Proctorio heeft die kwetsbaarheid direct opgelost.’

 

Verder benadrukt hij dat bij de ingebruikname van Proctorio uitgebreid gekeken is naar privacy- en security-issues van Proctorio en de bijbehorende plugin. Zo heeft de UvA Proctorio vorig jaar onder andere verzocht een penetratietest door ethische hackers te laten uitvoeren op de infrastructuur en de browserplugin, zegt Lange. Bij die test werden geen kwetsbaarheden aangetroffen. Ook zijn bij de ingebruikname van Proctorio risicoanalyses uitgevoerd en voorgelegd aan de Chief Information Security Officer en de Functionaris Gegevensbescherming van de UvA. Op basis daarvan zijn afspraken gemaakt over het regelmatig uitvoeren van veiligheidsaudits en het omgaan met gevoelige data, aldus de universiteit. 

 

‘Bied excuses aan’

Pjotr van der Jagt, oud-voorzitter van de Centrale Studentenraad en een van de kartrekkers van de rechtszaken, ziet in het nieuws over de kwetsbaarheid echter een bevestiging van zijn eerdere zorgen. ‘Je zou denken dat we genoeg hebben gedaan om ervoor te zorgen dat dit niet zomaar kan gebeuren,’ zegt hij. Hij vindt dat universiteiten op z’n minst excuses zouden moeten aanbieden. ‘Waanzinnig veel studenten hebben mails gestuurd naar ons en naar het CvB en hebben petities ondertekend. We hebben voldoende aan de bel getrokken. Nu is het de taak van onderwijsinstellingen om uit te zoeken of studenten de dupe zijn geworden, en zo ja, hoe je die studenten gaat helpen.’

‘Er zijn ook studenten die wel baat hebben bij proctoring, maar het moet altijd een keuzemogelijkheid zijn’

Ook Ama Boahene, voorzitter van de Landelijke Studentenvakbond, noemt het ‘heftig nieuws’. ‘Veel studenten waren sowieso geen fan van proctoringsoftware omdat ze zich in de gaten gehouden voelden en het stress opleverde. Nu we dit weten is het nog erger dat studenten werden gedwongen de software te gebruiken. De les voor de toekomst is dat dit soort software goed gecontroleerd moet worden en dat onderwijsinstellingen in de eerste plaats terughoudend moeten zijn.’

 

In het ideale geval, zegt ze, moeten studenten altijd de keuze krijgen tussen wel of geen proctoring gebruiken. ‘Er zijn genoeg andere tentamenmogelijkheden zoals openboektentamens of essays. Aan de andere kant zijn er ook studenten die wel veel baat hebben bij proctoring en “echte” thuistentamens, maar er moet wel een keuzemogelijkheid zijn.’