Student ontdekt privacylek in Solis U-gids
Door een privacylek in de Solis U-gids kunnen handige computersgebruikers al jaren achterhalen wie de persoon achter een studentnummer is. Van de momenteel nog breed geldende anonimiteit bij cijferlijsten is dus geen sprake. De UU neemt de klachten serieus en gaat het lek repareren.
Cijferanonimiteit: er is de laatste weken al flink wat over gezegd en geschreven. Momenteel publiceert het gros van de opleidingen alleen studentnummers bij de cijferlijsten. Namen worden niet vermeld, dus als je een onvoldoende hebt, komt niemand dat te weten, als je dat wilt.
Als het aan rector Bert van der Zwaan ligt komt daar snel verandering in, en worden op de den duur namen zichtbaar op cijferlijsten. Hierdoor zou volgens Van der Zwaan meer onderlinge competitie ontstaan, hoewel veel studenten hier vraagtekens bij zetten.
Maar wat blijkt? Door een privacylek in de Solis U-gids kan je al jaren kijken wat voor cijfer jouw cursusgenoot heeft gescoord. Jouke Waleson, student CKI (Cognitieve Kunstmatige Intelligentie) van de Universiteit Utrecht tipt onze redactie dat via de Solis U-gids heel makkelijk is op te vragen welke naam achter een studentnummer schuilt.
Namen en rugnummers
Om dit te demonstreren heeft Waleson (naast zijn studie ook werkzaam in de ict-sector) een webapplicatie gemaakt die studentnummers omzet in namen. Onze redactie heeft de methode getest, en kan bevestigen dat die werkt. Het is mogelijk om een gehele uitslagenlijst waarop slechts studentennummers en tentamencijfers staan, met één druk op de knop om te zetten in een uitslagenlijst met de namen van studenten.
Als je nu zoekt in de Solis U-gids dan kan je de naam van de student, het e-mailadres en de faculteit terugvinden. Geen studentnummer te vinden. Maar kijk je in het webadres (url) van de pagina van een student, dan staat er middenin een cijferreeks: het studentnummer. Met behulp van dit nummer kan de bovengenoemde applicatie automatisch studentnummers vertalen naar namen.
Cijfers zien voor iedereen te zien
In veel situaties kunnen alleen cursusgenoten tentamencijferlijsten zien. De laatste jaren is het echter een trend om cijferlijsten ook op internet te zetten (voorbeeld) en te laten staan, voor iedereen toegankelijk. Dat betekent dat iedereen met een applicatie zoals hierboven tot in lengte van dagen toegang heeft tot de cijfers van (oud-)studenten.
Het privacylek zou al jaren bestaan, en bekend zijn bij het ICT Service Centrum van de Universiteit Utrecht. Begin 2010 kaartte Waleson het probleem al eens aan bij de ict-servicedesk, zonder dat dit tot maatregelen leidde. Enige optie om te voorkomen dat mensen de naam achter een studentnummer achterhalen, is om er als student voor te kiezen al je gegevens op ‘verborgen’ te zetten, werd hem verteld. Overigens noemt Waleson het lek “niet ernstig” omdat er “geen echte privégegevens” beschikbaar worden gemaakt.
Technisch gebrek
In een reactie laat René Ritzen, information security officer van de Universiteit Utrecht, weten het te betreuren dat het voor externen via de Solis U-gids mogelijk is studentnummers aan namen te koppelen. Hij noemt het een “technisch gebrek”.
Volgens Ritzen is de koppeling tussen studentnummer en naam noodzakelijk voor onder meer de helpdesk en de studentenadministratie. Maar dat ook mensen van buiten die koppeling kunnen maken, is niet de bedoeling. “We gaan dit zo spoedig mogelijk repareren waardoor wordt voorkomen dat externen deze gegevens anoniem kunnen verzamelen.”
Ritzen laat weten dat het tegen de voorwaarden van de Solis U-gids is om met een extern programma studentennummers om te zetten in namen. Mede om die reden hebben we op de redactie van DUB besloten niet te linken naar de in dit artikel genoemde applicatie.