Studenten ontdekken gaten in beveiliging websites UvA en HvA
De Universiteit van Amsterdam en Hogeschool van Amsterdam lekken beide inloggegevens van studenten. De inlogpagina’s van beide onderwijsinstellingen zouden gebruik maken van verouderde SSL-certificaten om de verbinding waarover inloggegevens worden verzonden te beveiligen. Dit verouderde certificaat bevat een beveiligingslek, waardoor aanvallers informatie kunnen onderscheppen.
Foliaweb meldt dat het beveiligingslek is ontdekt door twee studenten. De studenten stellen de onderwijsinstellingen meerdere malen op de hoogte te hebben gesteld van het probleem, maar hierop geen enkele reactie te krijgen. De scholen zouden geen enkele maatregel hebben genomen en het probleem zou dan ook nog steeds aanwezig zijn. Dit is dan ook de reden dat de studenten nu besluiten het nieuws te verspreiden naar de media.
Video
De studenten hebben een video online gezet waarin zij het probleem demonstreren. De studenten laten in de video zien het dataverkeer naar de inlogpagina af te kunnen luisteren en hierdoor zowel gebruikersnamen als wachtwoorden in handen te kunnen krijgen. Hiervoor zetten zij een tool in om SSL-verbindingen te strippen, die gratis van internet geplukt kan worden. Wel hebben de studenten deze tool aangepast zodat het strippen is geautomatiseerd.
Een woordvoerder van de HvA, Meike Verhagen, zegt in een reactie tegen Foliaweb dat uit de acties van de studenten niet op te maken zou zijn of de ‘kwetsbaarheden in het beveiligingsniveau van de sites van de UvA en de HvA bij deze aanval een rol hebben gespeeld’. Verhagen erkent wel dat SSL-beveiliging kwetsbaarheden heeft en stelt dat de onderwijsinstellingen hier voortdurend aandacht aan besteden.
Meer over
Lees ook
Meld je hier aan voor PrivacyConnect – Amsterdam editie!
Sluit aan voor de Amsterdam-editie van de PrivacyConnect community Chapter-bijeenkomst onder leiding van de lokale Chapter Chairs. In deze bijeenkomst duiken we de diepte in en bespreken we de allernieuwste ontwikkelingen rondom privacyregelgeving met aandacht voor de AVG, CCPA, Schrems II en LGDP.
Infosequre en het SECO-Institute starten veelbelovende samenwerking
Infosequre en het SECO-Institute bundelen de krachten. Infosequre voegt SECO’s live online trainingen toe aan haar productportfolio. SECO gaat Infosequre’s kennis op het gebied van menselijk gedrag in informatiebeveiliging beschikbaar maken voor haar leden.
Bedrijfsgegevens verzamelen bij werknemers – wat met de privacy?
In hun voortdurende streven naar meer efficiëntie – nodig om concurrenten het hoofd te bieden – verkennen steeds meer bedrijven de mogelijkheden van process mining. Met behulp van process-miningtechnologie kan men onderzoeken hoe processen werkelijk verlopen in een organisatie