Studenten vinden beveiligingslek in cijfersysteem UVA

De twee studenten ontdekten dat via het SIS, het systeem waarin allerhande belangrijke zaken voor studenten worden geregeld, eenvoudig in de cijfers van medestudenten kon worden gekeken. In de URL van de webpagina met het cijfer van een bepaald vak, stond zowel het studentnummer als de vakcode opgenomen. Studenten die waren ingelogd op het SIS konden door het aanpassen van deze onderdelen in de URL eenvoudig overspringen naar de cijfers van medestudenten, zo schrijven ze (pdf).

JavaScript

Beide studenten zeggen dat ze door het aanpassen van de codes in de URL voor korte tijd het cijfer van anderen in konden zien, alvorens ze een foutmelding kregen. Nadat ze JavaScript uitschakelden, bleef deze foutmelding helemaal achterwege en bleef het cijfer zichtbaar voor de twee studenten.

Lek gedicht

Tegenover het studentenmedium Folia verklaren de studenten dat ze het lek hebben gemeld bij het Computer Emergency Response Team van de UvA, en dat het lek inmiddels is gedicht. Ook geven ze aan dat het lek volgens de universiteit niet grootschalig misbruikt bleek. “De UvA heeft aangegeven dat ze onderzoek heeft uitgevoerd en daaruit bleek dat het lek niet grootschalig misbruikt was. Daarom heeft de universiteit besloten niet alle studenten te mailen.” De UvA heeft volgens beiden wel een melding gemaakt bij de Autoriteit Persoonsgegevens.