Twee studenten van de opleiding Security & Network Engineering aan de UvA hebben een datalek in het Student Informatie Systeem van de universiteit ontdekt. Via het inmiddels gedichte lek konden ze de cijfers van alle 34.000 studenten inzien.

Via het Student Informatie Systeem (SIS) worden vakinschrijvingen, studievoortgang, cijfers, betalingsstatussen en andere belangrijke zaken van studenten geregeld. Studenten die op het SIS waren ingelogd konden door het veranderen van een studentnummer en vaknummer in de URL en het uitschakelen van JavaScript de cijfers van medestudenten inzien. Door het uitschakelen van JavaScript werd de controle uitgeschakeld die keek of de opgevraagde cijfers ook daadwerkelijk van de ingelogde gebruiker waren. In het geval JavaScript wel stond ingeschakeld werd de gebruiker doorgestuurd naar een pagina met een foutmelding.

Bovendien was het zo dat er, als het studentnummer niet werd ingevuld, een overzicht van alle studentnummers verscheen en dat er bij het leeg laten van de vakcode een lijst met alle vakcodes zichtbaar werd. De ontdekkers gaan ervan uit dat de gegevens geautomatiseerd te scrapen waren, omdat het om het simpelweg aanpassen van de url ging.

Alles bij de bronnen; Security & Tweakers


 


Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha