Start van hoofdcontent

Stad

nl

Cijfers van alle UvA-studenten inzichtelijk door lek

14 juni 2019, 12.23 uur · Aangepast 14 juni 2019, 13.32 uur

Twee studenten van de UvA hebben maandag 6 mei een lek ontdekt in het cijfersysteem (SIS) van hun eigen universiteit, waardoor ze bijvoorbeeld de cijfers van alle UvA-studenten konden inzien. Direct nadat ze het lek de volgende dag meldden, is het volgens de universiteit gedicht.

Dat meldt Folia vandaag. Op maandag 6 mei stuitten studenten Security & Network Engineering Tiko Huizinga (22) en David Garay (36) per toeval op een lek in het cijfersysteem van hun eigen universiteit.

Ze veranderden het studentennummer in het webadres van een pagina in het systeem en hoewel de website daarop al na een seconde blokkeerde, was die beveiliging volgens hen eenvoudig te ontwijken door 'Javascript uit te zetten'.

Daarmee, zo stellen de ontdekkers in een artikel, 'was het voor alle studenten van de UvA mogelijk om (eventueel geautomatiseerd met behulp van een script) alle namen, studentnummers en cijfers van alle andere 34.000 studenten te bekijken'.

Geen misbruik
De UvA heeft de twee hartelijk bedankt en laat weten het lek direct na de melding gedicht te hebben. Ook stelde de universiteit een onderzoek in naar eventueel misbruik van de fout, maar daaruit bleek dat er geen misbruik van was gemaakt.

Daarom was de UvA volgens een woordvoerder niet verplicht de fout te melden bij Autoriteit Persoonsgegevens, maar toch heeft de universiteit er, 'uit zorgvuldigheid', een melding van gemaakt.

Meer fouten
Het lek in SIS is niet de eerste fout in de digitale systemen van de UvA. Eerder ontdekten studenten al een lek in Blackboard, de digitale leeromgeving die de universiteit aanvankelijk gebruikte.

Ook bleken de inlogpagina's van zowel de HvA als de UvA in 2014 kwetsbaar voor fraude.

SIS is een systeem dat ook door de Universiteit Leiden en De Hogeschool van Amsterdam gebruikt wordt. In Leiden was het probleem al eerder bekend en verholpen; een woordvoerder van de HvA laat weten 'niet op de hoogte te zijn van een lek in het systeem waarvan zijn onderwijsinstelling gebruikmaakt'.