[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Nasleep van het incident | Bronnen]
"De studenten kunnen door dit lek makkelijk meekijken als iemand inlogt op de sites, en de inloggegevens stelen." [Folia Web, 2014-11-15]
Inbreuk op de vertrouwelijkheid en potentieel op de beschikbaarheid en de integriteit van de verwerkte gegevens.
"De inlogpagina's van de UvA en de HvA zijn vatbaar voor cyberaanvallen. Het DLWO, SIS, id.hva.nl en secure.uva.nl maken gebruiken van zwakke beveiligingscertificaten en zijn daardoor kwetsbaar voor zogenaamde man-in-the-middle-aanvallen. Daar zijn twee HvA-studenten achter gekomen. De studenten kunnen door dit lek makkelijk meekijken als iemand inlogt op de sites, en de inloggegevens stelen. [...] 'Het probleem is dat de HvA een oud en de UvA een zwak certificaat gebruiken. Dat doen ze waarschijnlijk zodat oudere browsers ook ondersteund worden, maar dat maakt hen kwetsbaar voor aanvallen,' leggen de studenten uit. De studenten demonstreren ons hoe ze inloggegevens van studenten kunnen zien. Een van de studenten sluit een Raspberry Pi (een soort minicomputer die hij als router programmeerde) op zijn laptop aan en maakt een van eduroam-afgeleid netwerk aan. Na wat gepruts om de juiste gateway te vinden, lukt het hem en hebben ze een eigen netwerk. Daarna begint het strippen van het SSL-certificaat. 'Op internet staat een tool waarmee je die SSL verbindingen kunt strippen, en je dus de verouderde SSL versies kunt omzeilen,' vertellen de studenten. 'Wij hebben dat geautomatiseerd. We hebben nu een programmaatje dat automatisch die SSL-verbinding stript.' Dat van de HvA blijkt een eitje, aangezien het een verouderd SSL3-certificaat is. Dat van de UvA lijkt weerbarstiger, maar moet er uiteindelijk ook aan geloven. Enkele seconden later vertelt het duo trots dat het klaar is. 'Kijk, ik ga nu naar secure.uva.nl. Als ik daar inloggegevens op invoer, kunnen wij ze op de computer direct zien.' Niets blijkt gelogen. Een ogenblik later zien we op de laptop de inloggegevens voor de beveiligde omgeving van de UvA. Het duo herhaalt het trucje moeiteloos op id.hva.nl." [Folia Web, 2014-11-15]
"Met een Raspberry Pi maakten ze een afgeleid netwerk van eduroam aan, waarna ze vervolgens het certificaat stripten. De studenten gebruikten daarvoor de tool SSLStrip die het proces automatiseerde. [...] Volgens één van de studenten ging het niet om zwakke of oude certificaten, zoals Folia meldde, maar om een gebrek aan beveiligingsprotocollen." [Tweakers, 2014-11-15]
"'Nou, de website van de UvA is nog wel redelijk goed beveiligd, alleen niet goed genoeg voor dit soort aanvallen. De site van de HvA was toen we die testten een farce. Inmiddels is de ICT-afdeling volop aan het updaten. Maar we kunnen de sites nog steeds makkelijk lekschieten. We hebben de ICT vast een rotweekend bezorgd, want zaterdagnacht om twee uur kregen we melding van de eerste update van de beveiliging.'" [Folia Web, 2014-11-19]
"Inmiddels is de site van de HvA flink geupdate. Dit weekend heeft de ICT-dienst de beveiligingscertificaten bijgewerkt. De studenten zijn gevraagd om in opdracht van de ICT-dienst een security audit uit te voeren. De bedoeling is dat dit andere beveiligingslekken aan het licht brengt, als deze er nog zijn na de updates. [...] " [Folia Web, 2014-11-15]
"Een HvA-woordvoerder erkent inmiddels wel dat de SSL-beveiliging kwetsbaarheden heeft." [Webwereld, 2014-11-15]
2014-11-15
2014-11-19