Studenten ontdekken gaten in beveiliging websites UvA en HvA

medewerkers-kantoor

De Universiteit van Amsterdam en Hogeschool van Amsterdam lekken beide inloggegevens van studenten. De inlogpagina’s van beide onderwijsinstellingen zouden gebruik maken van verouderde SSL-certificaten om de verbinding waarover inloggegevens worden verzonden te beveiligen. Dit verouderde certificaat bevat een beveiligingslek, waardoor aanvallers informatie kunnen onderscheppen.

Foliaweb meldt dat het beveiligingslek is ontdekt door twee studenten. De studenten stellen de onderwijsinstellingen meerdere malen op de hoogte te hebben gesteld van het probleem, maar hierop geen enkele reactie te krijgen. De scholen zouden geen enkele maatregel hebben genomen en het probleem zou dan ook nog steeds aanwezig zijn. Dit is dan ook de reden dat de studenten nu besluiten het nieuws te verspreiden naar de media.

Video

De studenten hebben een video online gezet waarin zij het probleem demonstreren. De studenten laten in de video zien het dataverkeer naar de inlogpagina af te kunnen luisteren en hierdoor zowel gebruikersnamen als wachtwoorden in handen te kunnen krijgen. Hiervoor zetten zij een tool in om SSL-verbindingen te strippen, die gratis van internet geplukt kan worden. Wel hebben de studenten deze tool aangepast zodat het strippen is geautomatiseerd.

Een woordvoerder van de HvA, Meike Verhagen, zegt in een reactie tegen Foliaweb dat uit de acties van de studenten niet op te maken zou zijn of de ‘kwetsbaarheden in het beveiligingsniveau van de sites van de UvA en de HvA bij deze aanval een rol hebben gespeeld’. Verhagen erkent wel dat SSL-beveiliging kwetsbaarheden heeft en stelt dat de onderwijsinstellingen hier voortdurend aandacht aan besteden.

Lees ook
Genetec kondigt nieuwe versie van Security Center aan

Genetec kondigt nieuwe versie van Security Center aan

Genetec Inc., technologieleverancier van oplossingen voor unified security, openbare veiligheid, operations en business intelligence, heeft een nieuwe versie aangekondigd van haar unified security platform Security Center.

Wegiz belangrijke stap voor digitale beveiliging zorgsector

Wegiz belangrijke stap voor digitale beveiliging zorgsector

De kogel is door de kerk! In navolging van de Tweede Kamer stemde ook de Eerste Kamer op 19 april 2023 vóór de Wet elektronische gegevensuitwisseling in de zorg (Wegiz). Dit houdt in dat de uitwisseling van patiëntgegevens tussen zorgaanbieders voortaan verplicht elektronisch verloopt.

DigiCert onderzoek onderstreept belang digitaal vertrouwen voor bedrijfsresultaten en klantloyaliteit

DigiCert onderzoek onderstreept belang digitaal vertrouwen voor bedrijfsresultaten en klantloyaliteit

DigiCert, de leverancier van digitaal vertrouwen, heeft het onderzoek 'Digitaal vertrouwen: de stand van zaken in 2022' gepubliceerd. Daaruit blijkt dat bijna de helft van de consumenten (47%) al eens is overgestapt naar een ander bedrijf doordat ze het vertrouwen in de digitale beveiliging van een bedrijf verloren. Als bedrijven hun digitaal vert1