Universiteit van Tilburg (UvT) ook te kampen met beveiligingslek

Niet alleen diverse Gemeenten waaronder Tilburg hebben op dit moment te kampen met lekken in hun computernetwerk, ontstaan door het virus XDocCrypt/Dorifel. Ook dertien universiteiten waaronder UvT blijken kwetsbaar geweest te zijn voor datalekken in hun website. In sommige gevallen waren zelfs persoonsgegevens eenvoudig en onbeveiligd toegankelijk.
De getroffen instellingen zijn de Radboud Universiteit, Rijksuniversiteit Groningen, TU Delft, Open Universiteit, Universiteit Twente en de universiteiten van Tilburg, Utrecht, Rotterdam, Wageningen, Amsterdam, Eindhoven, Maastricht en Leiden.

Dit ontdekten de twee handige studenten Daiman en Olivier tijdens het testen van de websites op kwetsbaarheden. Iedere keer bleek het te gaan om eenzelfde type lek, een SQL-injectie. SQL-injectie is een van de aanvalsmethoden die een hacker kan gebruiken als gebruikersinvoer op een website niet met voldoende zorg wordt behandeld. Deze problemen zijn al jaren bekend, maar toch blijken er keer op keer websites kwetsbaar voor te zijn. Via deze SQL-injectie kunnen uitvoerbare instructies op de server gezet worden. Zo kan de aanvaller niet alleen de website aanpassen maar had daarnaast ook de volledige toegang tot gevoelige data.

De twee studenten constateerden verder dat bij een aantal universiteiten de wachtwoorden van gebruikers niet versleuteld waren opgeslagen. Hierdoor zouden kwaadwillenden in kunnen loggen of de inloggegevens kunnen gebruiken bij andere websites. Vaak gebruiken mensen deze inloggegevens namelijk ook op andere websites.

Het advies van deze twee studenten Damian en Olivier is dan ook dat universiteiten de veiligheid beter controleren voordat ze hun website op het internet zetten en dat inloggegevens en wachtwoorden veiliger worden opgeslagen. Ook verwijten zij de universiteiten dat er een gebrek aan toezicht is op de server, omdat de lekken al erg lang hebben open gestaan.

Het National Cyber Security Center (NCSN) en het responseteam voor universiteiten SurfCERT zijn reeds ingeschakeld. Zij gaan de dertien universiteiten ondersteunen deze beveiligingslekken zo snel mogelijk te dichten en de eventuele aanpassingen door te voeren.

Een woordvoerster van de UvT reageert: “Wij hebben inderdaad op 20 juli een melding gehad van het NCSN dat er sprake was van dit datalek. Het bleek bij ons te gaan om een server die beheerd wordt door studenten en los staat van de servers van de Universiteit, dus de belangrijkste servers en netwerken van de UvT zijn niet geïnfecteerd geweest. Het datalek was binnengekomen via een fotoalbum dat door studenten op die server was geplaatst. De studenten hebben zelf het lek gedicht en hadden daar precies 61 minuten voor nodig.”

Geef een reactie