Niks meer missen?
Schrijf je in voor onze nieuwsbrief
UvA het vaakst gehackt tijdens hack-event op Science Park
Foto: Jip Koene
actueel

UvA het vaakst gehackt tijdens hack-event op Science Park

Jip Koene Jip Koene,
8 november 2024 - 13:40

Negentien teams van ethische hackers probeerden afgelopen woensdag in te breken in IT-systemen van hogeronderwijsinstellingen. Tijdens de nagebootste hack, georganiseerd door de onderwijsinstelling om hun IT-systemen en websites weerbaarder te maken tegen cybercriminaliteit, vonden de hackers de meeste kwetsbaarheden bij de UvA.

In het sportcafé De Oerknal van USC op Science Park wordt hard geklapt en gejuicht zodra wordt omgeroepen dat UvA-websites het vaakst zijn gehackt tijdens hack-event Hack al het Onderwijs in Nederland (Halon). Maar Roeland Reijers, Chief Information Security Officer van de UvA en de HvA, duikt grappend met zijn gezicht weg bij het horen van het nieuws. Toch heeft hij nog geen reden tot grote zorg: ‘Kijk, de UvA host deze editie van het evenement, dus dat betekent dat we het een beetje op onszelf afroepen. Daarnaast heeft de UvA de grootste lijst websites aangeleverd waarop de hackers hun gang konden gaan. Het verbaast me dan ook niet dat er bij ons de meeste kwetsbaarheden zijn gevonden.’

Roeland Reijers, Chief Information Security Officer
Foto: Jip Koene
Roeland Reijers, Chief Information Security Officer

Codes kraken
In de gymzaal van USC zijn negentien teams van zogeheten ethische hackers zes uur lang bezig met het opsporen van kwetsbaarheden op websites van de tien deelnemende Nederlandse hogeronderwijsinstellingen. Te midden van stekkerblokken, blikjes cola en kopjes koffie zijn de hackers druk bezig om codes op hun laptops te kraken. Om klokslag vier uur stopt de tijd, waarna een jury de hacks beoordeelt op uitvoerbaarheid, creativiteit en mate van kwetsbaarheid.


Het hack-event wordt sinds 2021 georganiseerd door SURF, de ict-coöperatie van Nederlandse onderwijs- en onderzoeksinstellingen. Deze derde editie host de organisatie samen met de UvA, waar ook verschillende studententeams aan meedoen. ‘Het is belangrijk om een platform te bieden aan studenten waarin ze kunnen leren hacken en tegelijkertijd leren wij er ook van,’ aldus Reijers. De onderwijsinstellingen proberen op deze manier meer te weten te komen over de kwetsbaarheid van hun IT-infrastructuur en websites. ‘Niets is feilloos,’ zegt hij.

 

De UvA gehackt
Het is niet de eerste keer dat de UvA zich laat hacken. Sinds 2022 doet de UvA mee aan Halon. Tijdens het evenement laat de universiteit zich bewust door ethische hackers hacken en laat hen stoeien met de codering van websites om binnen te kunnen dringen in digitale informatiesystemen. Maar in 2021 werd de UvA écht door criminelen gehackt, de zogenoemde “crackers.” ‘Toen zijn criminelen via de inloggegevens van een student in onze netwerksystemen gekomen,’ zegt Reijers. ‘Die hebben vervolgens onze systemen geïnfecteerd met allerlei schadelijke programma’s. Enkele jaren eerder werd dat de universiteit Maastricht fataal: het hele netwerk was toen versleuteld en gegijzeld, en de universiteit kon er niet meer bij. Dat had ook bij ons kunnen gebeuren. Gelukkig hebben we die aanval net op tijd weten te stoppen.’


Later in 2021 was UvA Q – het systeem dat gebruikt wordt voor onderwijsevaluatie – het doelwit van hackers. ‘Dat is ook met een sisser afgelopen,’ zegt Reijers. ‘Inmiddels hebben we de veiligheid van onze systemen verbeterd, onder andere met tweestapsverificatie. Met Halon laten we teams van ethische hackers op een soortgelijke manier onze websites infiltreren, weliswaar onder begeleiding. Op die manier komen we erachter waar de digitale deuren van de UvA onnodig op een kier staan, iets waar we anders nooit achter zouden zijn gekomen.’

Het artikel gaat verder onder de afbeelding.

Studenten van de master Security and Network Engineering die meededen aan Hack al het onderwijs in Nederland. Vlnr: Daniël Sevenster (22), Fabian van de Ridder (27), Coen de Graaf (21), Wouter Honselaar (24), Jeroen van Diepen (21) en Reween Bihari (24).
Foto: Jip Koene
Studenten van de master Security and Network Engineering die meededen aan Hack al het onderwijs in Nederland. Vlnr: Daniël Sevenster (22), Fabian van de Ridder (27), Coen de Graaf (21), Wouter Honselaar (24), Jeroen van Diepen (21) en Reween Bihari (24).

OS3 on top
Onder de negentien hacker-teams zaten twee UvA-teams met studenten van de masteropleiding Security and Network Engineering. Zij wisten onder meer twee kwetsbaarheden in het UvA-systeem op te sporen en één bij de Hogeschool van Amsterdam. Zo kwamen ze er bijvoorbeeld achter dat er nog een oude websitepagina bestond met de voor- en achternamen van studenten die tussen 2006 en 2024 aan hun opleiding hadden gestudeerd.

Studenten hackten stagebank HvA en zette een pop-up melding op de website.
Foto: Jip Koene
Studenten hackten stagebank HvA en zette een pop-up melding op de website.

‘Die persoonsgegevens stonden op een website-URL die met normaal googlen niet is te vinden, maar met heel weinig kennis van programmeren is buit te maken,’ vertelt masterstudent Jeroen van Diepen (21), die de fout vond. ‘Daarnaast hebben we op de stagebank van de HvA weten te infiltreren,’ vervolgt Van Diepen. ‘Om aan te tonen dat dat is gelukt, hebben we op de website een pop-upmelding geprogrammeerd: “OS3 on top,” onze teamnaam. Dat is natuurlijk superonschuldig, maar kwaadwillenden kunnen hier misbruik van maken door iets zeer ongepast te plaatsen of door je door te sturen naar een phishing-website, waarbij ze je inloggegevens, bankgegevens of andere gevoelige informatie kunnen buitmaken.’


WordPress
Als laatste wisten de studenten binnen te komen in een WordPress-website van een onderzoeksgroep van de bètafaculteit van de UvA. WordPress is een veelgebruikt systeem waarmee je zonder technische kennis een website kunt bouwen en beheren. ‘Doordat de website onvoldoende beschermd was, konden we zo bij de gebruikersnamen van de onderzoekers komen en zouden we zelfs een blogpostje op hun website kunnen plaatsen,’ zegt Van Diepen. ‘Dit is echt een veelvoorkomende fout, waar WordPress zelf zijn gebruikers niet goed tegen beschermt, maar die je, als je je een beetje inleest, zelf ook kunt voorkomen.’

 

29 kwetsbaarheden
Uiteindelijk zijn er in totaal 29 kwetsbaarheden gevonden in het gehele netwerk van de UvA. Dat is niet direct reden tot paniek, volgens Reijers: ‘De meeste kwetsbaarheden die zijn gevonden, zijn slordigheden bij het programmeren die niet zomaar kunnen leiden tot een grote inbraak in onze systemen. Dat soort foutjes komen we bijna dagelijks tegen. En laat ik vooropstellen, die dingen moeten opgelost worden. We zitten er steeds bovenop. Dat is ook nodig: cybercriminaliteit is iets alledaags geworden. Laatst nog was er een grote hack bij de landelijke politie. Met dit soort evenementen proberen we daarop nog scherper te letten.’

website loading