UU geeft aanvullende informatie over phishingmail

Het door het ICT Service Centrum als phishingmail bestempelde bericht van UniRooster is afkomstig van een aantal Utrechtste masterstudenten die een handige roosterapplicatie aanboden. Het ICT Service Centrum heeft inmiddels de oorspronkelijke waarschuwing aangepast.

De makers van UniRooster, een webapplicatie voor het inzien, wijzigen, en exporteren van UU-roosters naar smartphones en digitale agenda’s, voelen zich onterecht bejegend door het ICT Service Centrum. De ict-afdeling waarschuwde woensdag voor een phishingmail van een “fake website” die op niet toegestane wijze vraagt naar naam, studentnummer, wachtwoord en mailadres van studenten en medewerkers van de universiteit. 

De woorden ‘phishingmail’ en ‘fake website’ zijn inmiddels min of meer verwijderd uit het waarschuwingsbericht van het ICT Service Centrum. Er wordt niet meer expliciet gesproken over een phishingmail, maar de suggestie wordt nog steeds gewekt. Bovendien is de url van de webpagina nog onveranderd, namelijk “uu.nl/…/Weereenvormvanphishingmailinomloop.aspx”.

Zelfde diagnose
Volgens Ineke Molenaars, directeur ICT van de UU, is het bericht aangepast om meer informatie te geven over de mail, maar staat de oorspronkelijke diagnose nog als een paal boven water. “De diagnose is het hetzelfde. UniRooster probeert op onrechtmatige wijze persoonsgegevens van de universiteit te verkrijgen. De UU krabbelt geheel niet terug en neemt deze actie zeer serieus.”

Het ICT Service Centrum wil benadrukken dat als er zonder hun instemming om persoonsgegevens/UU-gegevens wordt gevraagd, dit als phishing beschouwd wordt. "Dat doen we en dat blijven we doen. We accepteren niet dat dit zonder toestemming van de UU gebeurt. Gebruikersnaam/wachtwoord zijn persoonlijk. Die mogen nooit worden afgegeven."

Onveilige verbinding
Woensdag besloot het ICT Service Centrum UniRooster.nl op het UU-netwerk te blokkeren omdat het een “onbeveiligde site” zou betreffen. Sinds donderdag is de site wel weer te bezoeken op de universiteit. Toch functioneert UniRooster op dit moment niet. Dit omdat de ict-afdeling ervoor heeft gezorgd dat UniRooster geen gegevens meer kan ophalen op de UU-server.  

Woensdagavond hebben de makers van UniRooster direct ingegrepen, zodat de communicatie van de gegevens wél via een extra veilige SSL-verbinding verloopt.

Ron, die de master Business Informatics aan de UU volgt, is een van de makers van UniRooster. Hij is blij dat de universiteit “terugkrabbelt” na de waarschuwing voor phishing. “Toegegeven, de uitwerking van UniRooster was niet superveilig, maar dat is geen reden om meteen woorden als ‘phishing’ en ‘fake website’ te gebruiken.”

UU-sites ook onveilig
Bovendien werkt de universiteit zelf ook niet overal met een veilige SSL-verbinding. De roosterapplicatie van de Bètafaculteit en het meldformulier voor storingen zijn ook niet met SSL beveiligd, laat Ron weten. Beveiligde webpagina’s hebben https:// in plaats van http:// in de adresbalk.

Via de openbare Solis U-Gids heeft UniRooster alle mailadressen van UU-studenten en -medewerkers verzameld. Maar niet iedereen van de UU heeft de mail van UniRooster ontvangen. Ron: “We willen alle mails over tien dagen verspreiden, maar we zijn er door deze kwestie al op dag twee mee gestopt.”

Hoeveel aanmeldingen UniRooster al heeft, wil Ron niet zeggen. “Van alle mensen die de mail ontvangen hebben, heeft meer dan 10 procent zich aangemeld. Dus als je weet dat we op dag twee gestopt zijn met mailen, dan kan je de rekensom zelf ongeveer maken.” Voor de mensen die een schatting willen maken: de UU heeft 35.798 medewerkers en studenten.

Rooster op smartphone
Aanvankelijk gebruikten Ron en zijn medestudenten UniRooster alleen in eigen kring, omdat de UU zelf volgens hen geen makkelijke manier aanbiedt om je Osiris-rooster op je smartphone, tablet of computer te zetten. Ron: “Hierna merkten we dat er steeds meer vraag kwam van vrienden en medestudenten om deze dienst ook te mogen gebruiken. Daarom hebben we het idee uitgewerkt tot een webapplicatie en gelanceerd voor de hele Universiteit Utrecht.”

Het is de bedoeling van UniRooster om de roosterapplicatie eerst gratis aan te bieden, zodat gebruikers de werking ervan kunnen testen. Later willen ze geld gaan vragen voor de dienst. Je moet daarbij denken aan een paar euro per halfjaar, vertelt Ron. “We zijn bijna een jaar bezig geweest met het ontwikkelen van de applicatie, daarom vragen we er een vergoeding voor.”

Overleg met ict UU
De makers van UniRooster gaan donderdagmiddag om de tafel zitten met de ict-afdeling van de UU, om de lucht te klaren. Ook wordt er gepraat over mogelijkheden waarbij UniRooster gebruik kan maken van Osiris-gegevens  op een manier die de UU wél toestaat.

Het verkopen of overdragen van de UniRooster-software, zodat de universiteit het zelf kan aanbieden, is niet echt een optie voor Ron. Hij vindt dat de UU "jammerlijk" omgaat met studentenservices, en denkt dat het beter is om de applicatie zelf verder te ontwikkelen.

(Update vrijdagochtend: Het ICT Service Centrum heeft aanvullende informatie gegeven. Hierdoor zijn delen van dit artikel gewijzigd.)

Advertentie