Nelson Berg, die eerder al een lek vaststelde in de systemen van de UvA en de HvA, heeft opnieuw verschillende lekken gevonden bij de HvA. Hierdoor waren de gegevens van 93.000 studenten inzichtelijk via de digitale leeromgeving DLWO. Berg schrijft in een blogpost dat het bij de gegevens gaat om namen en gebruikersnamen van studenten, inclusief de afdeling waar zij aan toebehoren. De gegevens zijn verkregen uit vier verschillende lekken. 

Een daarvan zit in een systeem om te communiceren met medestudenten. "Het is een soort live-feed, waarmee je berichten kunt sturen naar anderen", legt Berg uit. Dat systeem vult automatisch de naam aan van een student als er een aantal letters zijn ingevoerd. Door een speciaal opgesteld verzoek te sturen kon Berg een grote hoeveelheid namen achterhalen.

Bij de andere drie lekken ging het om SharePoint-endpoints, die ingeschakeld bleken te zijn. Zijn laatste bevinding betreft de mogelijkheid tot het achterhalen van wachtwoorden door brute force. Er bleek namelijk geen maximum aan het aantal inlogverzoeken te zijn gesteld. 

Hij heeft de verschillende lekken eind mei aan de Hogeschool gemeld. Een oplossing voor alle lekken was er op 25 juli, het brute force-lek was al eerder gedicht. Berg noemt in de blogpost dat er snel op zijn communicatie werd gereageerd en dat er informatie is verstrekt aan de studenten. Wel zou het systeem niet uitgeschakeld zijn tot de patches beschikbaar waren, waardoor de gegevens onnodig lang waren blootgesteld.

Alles bij de bron; Tweakers