Studenten ontdekken gaten in beveiliging websites UvA en HvA

De Universiteit van Amsterdam en Hogeschool van Amsterdam lekken beide inloggegevens van studenten. De inlogpagina’s van beide onderwijsinstellingen zouden gebruik maken van verouderde SSL-certificaten om de verbinding waarover inloggegevens worden verzonden te beveiligen. Dit verouderde certificaat bevat een beveiligingslek, waardoor aanvallers informatie kunnen onderscheppen.

Foliaweb meldt dat het beveiligingslek is ontdekt door twee studenten. De studenten stellen de onderwijsinstellingen meerdere malen op de hoogte te hebben gesteld van het probleem, maar hierop geen enkele reactie te krijgen. De scholen zouden geen enkele maatregel hebben genomen en het probleem zou dan ook nog steeds aanwezig zijn. Dit is dan ook de reden dat de studenten nu besluiten het nieuws te verspreiden naar de media.

Video

De studenten hebben een video online gezet waarin zij het probleem demonstreren. De studenten laten in de video zien het dataverkeer naar de inlogpagina af te kunnen luisteren en hierdoor zowel gebruikersnamen als wachtwoorden in handen te kunnen krijgen. Hiervoor zetten zij een tool in om SSL-verbindingen te strippen, die gratis van internet geplukt kan worden. Wel hebben de studenten deze tool aangepast zodat het strippen is geautomatiseerd.

Een woordvoerder van de HvA, Meike Verhagen, zegt in een reactie tegen Foliaweb dat uit de acties van de studenten niet op te maken zou zijn of de ‘kwetsbaarheden in het beveiligingsniveau van de sites van de UvA en de HvA bij deze aanval een rol hebben gespeeld’. Verhagen erkent wel dat SSL-beveiliging kwetsbaarheden heeft en stelt dat de onderwijsinstellingen hier voortdurend aandacht aan besteden.