Dertien universiteit getroffen door beveiligingslek

Source: Nu.nl

Dertien universiteiten blijken kwetsbaar geweest te zijn voor een datalek in de website. In sommige gevallen waren persoonsgegevens toegankelijk.

Dat ontdekten de scholieren Daiman en Olivier. Tijdens het testen van de websites op kwetsbaarheden troffen de scholieren er tientallen aan. Iedere keer bleek het om eenzelfde type lek te gaan, een SQL-injectie. Dat betekent dat er een zwakheid in de website zit waardoor gecommuniceerd kan worden met de database. Normaal is de database volledig afgeschermd. De getroffen instellingen zijn de Radboud Universiteit, Rijksuniversiteit Groningen, TU Delft, Open Universiteit, Universiteit Twente en de universiteiten van Tilburg, Utrecht, Rotterdam, Wageningen, Amsterdam, Eindhoven, Maastricht en Leiden.

Server overnemen

Via het lek kon een uitvoerbare code op een server gezet worden. Zo kon de aanvaller de regie over de website te krijgen. Dat betekent dat naast volledige toegang tot de data ook de website is aan te passen. Een klacht van de scholieren is ook dat bij een aantal universiteiten de wachtwoorden van gebruikers niet versleuteld waren opgeslagen. Daardoor zouden kwaadwillenden in kunnen loggen of de inloggegevens kunnen gebruiken bij andere websites. Vaak hanteren mensen hetzelfde wachtwoord op meerdere locaties.

Meer checken

De scholieren adviseren de universiteiten beter te controleren voordat een website op internet wordt gezet en wachtwoorden veiliger op te slaan. Ook verwijten zij de universiteiten een gebrek aan toezicht op de server, omdat de lekken lang hebben bestaan. Na melding bij NU.nl zijn het National Cyber Security Center en het responseteam voor universiteiten SurfCERT ingeschakeld. Daarna hebben de universiteiten de tijd gekregen de lekken te dichten.

Terug