Onafhankelijke journalistiek over de Vrije Universiteit Amsterdam | Sinds 1953
27 maart 2024

Campus
& Cultuur

Blackboard VU beter beveiligd dan van UvA

De VU was wel even gealarmeerd toen twee UvA-studenten bekendmaakten dat ze 10.000 Blackboard-accounts van de UvA hadden gehackt. Maar hier is niks aan de hand.

“Alle universiteiten richten hun eigen systemen in zoals ze dat zelf willen”, zegt IT-veiligheidscoördinator Hans Alfons. “Wij hebben direct toen de lekken aan de UvA bekend werden, gecheckt of we er op de VU ook last van hadden en dat bleek niet het geval.”

Slecht wachtwoord

De UvA-studenten ontdekten onder meer dat het Blackboard-systeem van hun onderwijsinstelling weliswaar een beveiligde inlogpagina heeft, maar dat gebruikers na het inloggen direct worden doorgestuurd naar een niet-beveiligde pagina. Het is mogelijk om tijdens die overgang de inloggegevens te onderscheppen.

Maar hoe ze aan ruim 10.000 accounts kwamen, is een ander verhaal. Ze ontdekten namelijk dat er meer dan 10.000 accounts waren die simpelweg hetzelfde wachtwoord hadden als de gebruikersnaam. In al die accounts konden ze dus eenvoudig inloggen. En daar zaten ook accounts bij met rechten op het niveau van vakcoördinator en zelfs van IT-administrator.

Trucs

Volgens Alfons is het op de VU in Blackboard niet toegestaan om hetzelfde wachtwoord te kiezen als je gebruikersnaam. En ook de overgang na het inloggen gaat anders. Dus de trucs die de UvA-studenten toepasten, werken op de VU niet.

“De VU heeft twee jaar geleden al studenten gehad die lekken aankaartten. Die hebben we toen direct aangepakt. We hebben ook een beloning ingesteld van 50 euro voor iedereen die gaten bij ons meldt. Dat leverde een piek aan incidenten op, ook van mensen uit China en India. Het werd een druk jaar en we waren veel geld kwijt, maar daardoor hebben we de beveiliging nu wel beter op orde.”

Reageren?

Houd je bij het onderwerp, en toon respect: commerciële uitingen, smaad, schelden en discrimineren zijn niet toegestaan. Reacties met url’s erin worden vaak aangezien voor spam en dan verwijderd. De redactie gaat niet in discussie over verwijderde reacties.

Velden met een * zijn verplicht
** je e-mailadres wordt niet gepubliceerd en delen we niet met derden. We gebruiken het alleen als we contact met je zouden willen opnemen over je reactie. Zie ook ons privacybeleid.