Binnenland Bewaar

Eerstejaarsstudent vindt beveiligingslek op intranet HvA

Sander de Vos
Sander de Vos © Eigen foto

Student Sander de Vos (19) uit Wilnis spoorde in de eerste week van zijn opleiding Informatica op de Hogeschool van Amsterdam (HvA) een lek op in het intranet van de school. Tot nu toe zijn de desbetreffende pagina's offline gehaald als een tijdelijke oplossing. Het lek zelf is nog niet gedicht. 'Ze waren niet blij dat ik van alles aan het uitdokteren was.'

'Het lek was niet moeilijk te vinden. Ik had al enige programmeerkennis dus ik kwam er gemakkelijk achter,' zegt De Vos. 'Ik was het niet eens met de beslissing van de HvA om mijn pasfoto en gegevens op de site te zetten. Na een paar klikken kwam ik erachter dat je via de pasfoto's achter andere gegevens kon komen om zo wachtwoorden te resetten.'

Uiteindelijk achterhaalde de student ook de volledige namen, e-mailadressen, telefoonnummers en HvA-inlognamen van eenieder die de Digitale Leer- en Werkomgeving (DLWO) gebruikt. Gelijk nadat De Vos achter het lek kwam, lichtte hij de ICT-afdeling in. Daar reageerden sommige werknemers niet zo positief. 'Ze waren niet blij dat ik van alles aan het uitdokteren was. Maar over het algemeen waren ze verrast en dankbaar dat een student het lek had ontdekt en niet een potentiële hacker.'

Voordat De Vos op de HvA begon, deed hij een programmeeropleiding aan Het Grafisch Lyceum Utrecht. Volgens hem kon niet iedereen zomaar het lek achterhalen. 'Ik had een voorsprong op het gebied van programmeren. Maar bijna iedere programmeur had het lek kunnen vinden.'

Vandaag is De Vos gebeld met het verzoek niet in zijn eentje verder te gaan zoeken. Voorlopig houdt de 19-jarige zich daar aan. Toch zal hij in de toekomst niet terughoudend zijn om nog een keer rond te neuzen in andere systemen.

Update 10.48 uur: De Hogeschool van Amsterdam laat in een reactie weten dat het 'niet om een groot lek gaat'. 'Iemand is er in geslaagd om de toegangscode van het HvA-ID van een van onze studenten te resetten en daarmee toegang te krijgen tot diens persoonlijke account. Het resetten van de wachtwoorden gebeurt door het beantwoorden van persoonlijke vragen en blijkbaar is hij erin geslaagd de antwoorden op deze vragen te acherhalen', aldus een woordvoerder.

De HvA neemt de gebeurtenis wel 'zeer serieus'. 'Onze specialisten werken aan een oplossing en verbeterde beveiliging.' Door het lek kunnen studenten voorlopig alleen hun account activeren bij de servicebalies van de hogeschool.