Cijfers van UvA studenten inzichtelijk voor derden

14-06-2019 | door: Wouter Hoeffnagel

Cijfers van UvA studenten inzichtelijk voor derden

De cijfers van alle 34.000 studenten van de Universiteit van Amsterdam (UvA) waren door een beveiligingslek inzichtelijk voor derden. Het lek is inmiddels gedicht.

Het lek is ontdekt door de studenten Tiko Huizinga en David Garay, die aan de UvA de opleiding Security & Networking Engineering volgen. In een verslag beschrijven de studenten hun bevindingen. "Begin mei hebben wij een datalek in het Studenten Informatie Systeem van de UvA gevonden. Via dit datalek was het mogelijk om als ingelogde student alle cijfers van alle medestudenten in te zien. Dit was mogelijk door het veranderen van een studentnummer en vaknummer in de URL en het uitschakelen van javascript. Wij hebben dit met toestemming van de betrokken medestudenten getest", schrijven Huizinga en Garay in hun verslag.

De studenten hebben het lek gemeld bij de UvA, dat direct actie ondernam. "Nadat we dit lek gemeld hadden bij de universiteit, was het binnen een dag gedicht", aldus de studenten. Het lek zat in het Student Informatie Systeem (SIS), een systeem waarin vakinschrijvingen, studievoortgang, cijfers, betalingsstatussen en andere studiegerelateerde zaken worden geregeld. Het systeem wordt niet alleen door de UvA, maar ook door de Hogeschool van Amsterdam en de Universiteit Leiden. Hierbij wordt samengewerkt met het Utrechtse bedrijf SaNS. Het systeem is gebaseerd op Oracle PeopleSoft Campus Solutions.

Terug naar nieuws overzicht
Security