Foto: Markus Spiske (via Pexels)

Hoe twee studenten een lek in SIS vonden

Het leuke aan werken voor een universiteit is dat studenten soms dingen uitvinden waar medewerkers van versteld staan. Tiko Huizinga en David Garay deden dat: ze vonden een datalek in een van de belangrijkste UvA-systemen.

Lek in SIS: cijfers van alle 34.000 UvA-studenten waren in te zien

Door een lek in het Student Informatie Systeem (SIS) was het voor UvA-studenten mogelijk om alle cijfers van alle UvA-studenten te bekijken. Tiko Huizinga (22) en David Garay (36) vonden het op een maandagavond, zo schrijven ze in een artikel (pdf). ‘Het lek was vrij eenvoudig te vinden.’ De UvA heeft het datalek inmiddels gedicht.

Tiko en David studeren beiden Security & Network Engineering aan de UvA, een masterstudie die zich richt op cybersecurity. Op de vraag hoe ze achter het lek kwamen reageert Tiko nuchter: ‘Eigenlijk was dit heel eenvoudig te vinden. Als je je cijfer voor een vak opvraagt staat in de URL van de webpagina je studentnummer en de vakcode. Wanneer je je studentnummer verandert in een ander studentnummer, zie je de naam die bij het studentnummer hoort en het cijfer dat een andere student voor dat vak haalde. Als je de vakcode aanpast zie je het cijfer van een andere student voor een ander vak.’

Slechte beveiliging
Volgens de studenten is er sprake van een groot datalek. Met wat werk hadden ze namelijk de namen, studentnummers en cijfers van alle studenten voor alle vakken kunnen achterhalen. ‘Je kreeg het cijfer een halve seconde te zien, waarna je werd doorverwezen naar een foutmelding,’ vertelt Tiko. ‘Door Javascript uit te zetten kon deze doorverwijzing voorkomen worden en, konden we dus het cijfer van andere studenten blijven zien. Er was dus wel een beveiligingsmechanisme ingebouwd maar dat was dus eenvoudig te omzeilen.’

‘De UvA heeft aangegeven dat ze onderzoek heeft uitgevoerd en daaruit bleek dat het lek niet grootschalig misbruikt was’

‘Toen we het vonden hebben we contact gezocht met onze opleiding en met het Computer Emergency Response Team van de UvA,’ vertelt Tiko. ‘Zij hebben het gemeld bij het bedrijf dat SIS in opdracht van de UvA beheert en de volgende dag was het lek gedicht.’

Niet grootschalig misbruikt
Tiko en David vinden dat de UvA goed heeft gehandeld door het lek zo snel te dichten. ‘De UvA heeft aangegeven dat ze onderzoek heeft uitgevoerd en daaruit bleek dat het lek niet grootschalig misbruikt was. Daarom heeft de universiteit besloten niet alle studenten te mailen,’ zeggen de studenten. Wel heeft de universiteit een melding bij de Autoriteit Persoonsgegevens gemaakt over de mogelijkheid om een lijst van studentnummers en bijbehorende namen op te vragen.

De twee studenten kregen zelf wel een reactie van de UvA. ‘We zijn gebeld door iemand van de ICT-afdeling en die liet ons weten heel blij te zijn dat we het lek bij hen meldden. Ook vroeg hij ons of, als we nog eens iets vonden, we het nogmaals wilden melden.’

Foto’s, studentnummers en telefoonnummers
Het is niet de eerste keer dat studenten een lek in SIS vonden. In juni 2016 vond HvA-student Nelson Berg een lek waardoor hij pasfoto’s, studentnummers en telefoonnummers van alle studenten van UvA en HvA kon inzien. Dat deed hij eveneens door in de URL zijn studentnummer te veranderen in het studentnummer van een andere student. Destijds besloten UvA en HvA eveneens studenten niet te informeren, ‘omdat er geen aanwijzing was dat de informatie misbruikt of uitgelekt was.’

Twee jaar geleden vonden twee studenten van dezelfde master een datalek in Blackboard. Zo was de beveiliging op de inlogpagina niet op orde en konden ze niet-gepubliceerde examenvragen achterhalen.