'Websites UvA en HvA lekken inloggegevens'

De inlogpagina's van de UvA en de HvA lekken gebruikersgegevens door gebruik te maken van een zwak en oud ssl-certificaat. Het lek is ontdekt door twee HvA-studenten en gemeld aan Folia.

De studenten maakten met een Raspberry Pi op hun laptop een van eduoram-afgeleid netwerk aan, waarmee het mogelijk zou kunnen worden dat studenten en medewerkers van de HvA en de UvA nietsvermoedend inloggen op dit netwerk, denkend dat het om het gebruikelijke wifi-netwerk gaat.

Vervolgens konden de studenten de SSL-verbindingen van de inlogpagina's van de hogeschool en de universiteit 'strippen', waarbij het dankzij het ssl-certificaat wel lijkt alsof de pagina beveiligd is. In werkelijkheid konden de studenten echter de inloggegevens onversleuteld buitmaken.

'Stel je voor dat we ons netwerk 'eduroam' hadden genoemd. Alle studenten en medewerkers loggen daar nietsvermoedend op in, waardoor we al hun HvA- en UvA-inloggegevens hadden kunnen inzien', stellen de studenten tegenover Folia. Ze hebben het lek sinds de ontdekking in september dan ook meerdere keren aangekaard bij de ICT-afdelingen van de UvA en HvA. Tot op heden is daar volgens hen echter nog niks mee gedaan.

HvA-woordvoerder Meike Verhagen zegt in een reactie tegen Folia dat het niet zeker is dat de 'kwetsbaarheden in het beveiligingsniveau van de sites van de UvA en de HvA bij deze aanval een rol hebben gespeeld'.

Meer over

Wilt u belangrijke informatie delen met Het Parool?

Tip hier onze journalisten


Op alle verhalen van Het Parool rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@parool .nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden