Website UU-instituut geeft privédata 3500 man prijs

Body: 

Hackers konden door een ict-lek in de site van een UU-onderzoeksinstituut thuisadressen, inlognamen en wachtwoorden van circa 3500 man achterhalen. Voor zover bekend is hier echter geen misbruik van gemaakt  door hackers, en het lek is inmiddels gedicht.

Foto van René Ritzen

Hackers konden door een ict-lek in de site van een UU-onderzoeksinstituut thuisadressen, inlognamen en wachtwoorden van circa 3500 man achterhalen. Voor zover bekend is hier echter geen misbruik van gemaakt  door hackers, en het lek is inmiddels gedicht.

Foto van René Ritzen

Het gaat om een onderzoeksinstituut dat de eigen webserver niet goed beveiligd heeft. Via een zogeheten SQL-injectie kon toegang gekregen worden tot persoonsgegevens en inloggegevens. Dat vertelt , René Ritzen chief information security officer van de Universiteit Utrecht, die de naam van het instituut niet wil noemen.

Ritzen benadrukt dat de wachtwoorden versleuteld zijn opgeslagen. Dat wil zeggen: kwaadwillenden zouden eerst een digitale sleutel moeten achterhalen om de wachtwoorden echt te kunnen lezen. Ritzen vermoedt dat niemand dat heeft gedaan. “Voor zover wij kunnen zien is er in de laatste maanden geen actief misbruik gemaakt.”

Het gaat om de gegevens van een honderdtal UU-medewerkers, maar ook om die van circa 3400 andere personen. “Dit zijn mensen die zich bij het instituut hebben laten registeren om onderzoek op te vragen, of om zich in te schrijven voor een congres,” vertelt Ritzen. Bij de UU-medewerkers gaat het niet om de Solis-inloggegevens die benaderbaar waren, maar om accounts die gebruikt worden voor onderzoek en congressen.

Alle personen die in de database stonden, zijn inmiddels gemaild om ze op de hoogte te stellen van de kwetsbaarheid. Ondanks het feit dat de wachtwoorden versleuteld zijn, zijn de wachtwoorden van de 3500 preventief gereset. “Bovendien hebben we ze geadviseerd, indien elders hetzelfde wachtwoord wordt gebruikt, dat ook te wijzigen”, vertelt Ritzen.

Het lek op de site van het instituut is inmiddels gedicht, vertelt Ritzen. Op dit moment wordt getest of de genomen maatregelen afdoende zijn.

SQL-injectie?

De term SQL-injectie (Engels: SQL injection) wordt gebruikt voor een type kwetsbaarheid van computerapplicaties, meestal webapplicaties. Applicaties die informatie in een database opslaan maken gebruik van SQL om met de database te communiceren. SQL-injectie kan gebeuren als invoer van gebruikers op onvoldoende gecontroleerde wijze wordt verwerkt in een SQL-statement.

Bron: Wikipedia

Het lek werd vorige week aan de universiteit gemeld door een anonieme tipgever. Dezelfde persoon heeft ook ict-nieuwssite Webwereld op de hoogte gesteld van het lek. De tipgever meldt aan Webwereld dat door het lek de persoonsgegevens van “tienduizenden studenten en ook universiteitsmedewerkers” gevaar lopen.

Die claim is nergens op gebaseerd, zegt Ritzen. “Het is onjuist op basis van de gemelde incidenten. Er zijn geen gegevens van studenten blootgesteld. Dat de gegevens van 3500 man niet goed beschermd waren, is natuurlijk erg, maar de impact wordt in het artikel op Webwereld overdreven.”

Bovendien wordt op Webwereld gemeld dat de wachtwoorden niet versleuteld zijn opgeslagen, wat dus niet waar is, zegt Ritzen. “De wachtwoorden van de medewerkers waren wel versleuteld. Op de slecht beveiligde webserver stond nog wél een oud bestand met daarin onversleutelde wachtwoorden. Slordig natuurlijk, maar die wachtwoorden worden niet meer gebruikt.” Het bestand is inmiddels verwijderd.

Ritzen heeft Webwereld om rectificatie gevraagd.

De anonieme tipgever heeft nog een ander, minder ernstig digitaal lek gevonden bij UU. De webserver van een van de faculteiten, ook hier wil Ritzen niet zeggen welke, zou eveneens slecht beveiligd zijn. Een hacker zou potentieel toegang kunnen krijgen tot de database met curusinformatie en zou die informatie kunnen aanpassen. Dat had voor veel verwarring onder studenten en docenten kunnen leiden.

De kwetsbare webpagina’s van de faculteit worden momenteel onderzocht en beter beveiligd. Tot dit gereed is, zijn de pagina’s afgesloten voor internetgebruikers van buiten het UU-netwerk, vertelt Ritzen. “We kijken naar de impact van het lek, want voor de faculteit is het natuurlijk belangrijk dat de cursusinformatie beschikbaar blijft.”

Ritzen heeft dinsdagavond een mail gestuurd naar alle faculteiten en diensten om ze uitleg van zaken te geven, en om te vragen de controle op digitale kwetsbaarheden aan te scherpen. “We gaan een checklist maken waarin de do’s en dont’s voor websitebouwers en beheerders worden opgenomen. Bovendien gaan we ook technische audits uitvoeren om te kijken of we zelf nog lekken kunnen vinden op sites van de UU.” Als anderen lekken vinden, dan kunnen ze die op deze pagina melden, zegt Ritzen.

Hoe de beveiliging van webservers bij de universiteit structureel kan worden verbeterd, laat Ritzen nog in het midden. “Het gebruik van de technologie is laagdrempelig. Elke faculteit kan een eigen webserver installeren en beheren. Een centraal systeem zou een alternatief kunnen zijn, maar dat kan bijvoorbeeld voor onderzoekers, die snel willen publiceren, niet laagdrempelig genoeg zijn.” 

Facebook Twitter Whatsapp Mail