De inlogpagina's van de UvA en de HvA lekken gebruikersgegevens door gebruik te maken van een zwak en oud ssl-certificaat. Het lek is ontdekt door twee HvA-studenten en gemeld. De studenten maakten met een Raspberry Pi op hun laptop een van eduoram-afgeleid netwerk aan, waarmee het mogelijk zou kunnen worden dat studenten en medewerkers van de HvA en de UvA nietsvermoedend inloggen op dit netwerk, denkend dat het om het gebruikelijke wifi-netwerk gaat.

Vervolgens konden de studenten de SSL-verbindingen van de inlogpagina's van de hogeschool en de universiteit 'strippen', waarbij het dankzij het ssl-certificaat wel lijkt alsof de pagina beveiligd is. In werkelijkheid konden de studenten echter de inloggegevens onversleuteld buitmaken.

'Stel je voor dat we ons netwerk 'eduroam' hadden genoemd. Alle studenten en medewerkers loggen daar nietsvermoedend op in, waardoor we al hun HvA- en UvA-inloggegevens hadden kunnen inzien', stellen de studenten tegenover Folia. Ze hebben het lek sinds de ontdekking in september dan ook meerdere keren aangekaard bij de ICT-afdelingen van de UvA en HvA. Tot op heden is daar volgens hen echter nog niks mee gedaan.

Alles bij de bron; Parool


Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha