De VU was wel even gealarmeerd toen twee UvA-studenten bekendmaakten dat ze 10.000 Blackboard-accounts van de UvA hadden gehackt. Maar hier is niks aan de hand.
“Alle universiteiten richten hun eigen systemen in zoals ze dat zelf willen”, zegt IT-veiligheidscoördinator Hans Alfons. “Wij hebben direct toen de lekken aan de UvA bekend werden, gecheckt of we er op de VU ook last van hadden en dat bleek niet het geval.”
Slecht wachtwoord
De UvA-studenten ontdekten onder meer dat het Blackboard-systeem van hun onderwijsinstelling weliswaar een beveiligde inlogpagina heeft, maar dat gebruikers na het inloggen direct worden doorgestuurd naar een niet-beveiligde pagina. Het is mogelijk om tijdens die overgang de inloggegevens te onderscheppen.
Maar hoe ze aan ruim 10.000 accounts kwamen, is een ander verhaal. Ze ontdekten namelijk dat er meer dan 10.000 accounts waren die simpelweg hetzelfde wachtwoord hadden als de gebruikersnaam. In al die accounts konden ze dus eenvoudig inloggen. En daar zaten ook accounts bij met rechten op het niveau van vakcoördinator en zelfs van IT-administrator.
Trucs
Volgens Alfons is het op de VU in Blackboard niet toegestaan om hetzelfde wachtwoord te kiezen als je gebruikersnaam. En ook de overgang na het inloggen gaat anders. Dus de trucs die de UvA-studenten toepasten, werken op de VU niet.
“De VU heeft twee jaar geleden al studenten gehad die lekken aankaartten. Die hebben we toen direct aangepakt. We hebben ook een beloning ingesteld van 50 euro voor iedereen die gaten bij ons meldt. Dat leverde een piek aan incidenten op, ook van mensen uit China en India. Het werd een druk jaar en we waren veel geld kwijt, maar daardoor hebben we de beveiliging nu wel beter op orde.”