NIEUWS

Campus 06 april 2018

Tweehonderd VU-accounts staan op leklijst

reacties 1

Van honderden e-mailadressen aan universiteiten en hogescholen ligt het wachtwoord op straat. Ook van de VU. Hackers hebben eenvoudig toegang tot deze adressen, tenzij de gebruikers hun wachtwoord veranderen.

Dat blijkt uit een zoekmachine van leaked accounts die online is gezet. Je kunt je eigen e-mailadres intikken om te kijken of het te hacken valt. Zo ja, dan zie je als bewijs de eerste twee tekens van je wachtwoord staan, gevolgd door een reeks sterretjes.

VU-accounts

Je kunt ook hele ‘domeinen’ intikken. Wie bijvoorbeeld tudelft.nl of inholland.nl intikt, krijgt de melding dat er veel accounts zijn gevonden. De eerste vijfhonderd worden (half geanonimiseerd) opgesomd, met daarachter de eerste twee tekens van hun wachtwoord.

De zoekmachine vindt 352 vu.nl-accounts die zijn 'gelekt'. Volgens een woordvoerder van de VU zijn 210 daarvan actief. "De IT-afdeling is ervan op de hoogte en heeft iedereen om wie het gaat een mail gestuurd om zijn of haar wachtwoord aan te passen."

Eén van de accounts blijkt van bètadecaan Guus Schreiber. "Ik heb geen idee waar dit vandaan komt, want ik laat mijn wachtwoorden nooit beginnen met mijn initialen", reageert hij aan de telefoon op de gegevens in de lijst. Hij gebruikt daarvoor tegenwoordig altijd een passwordmanager.

Wachtwoord veranderen

Het devies: verander regelmatig het wachtwoord van je e-mailadres en andere belangrijke accounts. Gebruik ook niet hetzelfde wachtwoord voor verschillende accounts, anders kunnen kwaadwillende hackers opeens overal bij.

Het blijft opletten. Mensen geven soms per ongeluk hun wachtwoord weg of klikken op besmette bijlages van onbekende afzenders. Vorig jaar waarde het internetvirus Wannacry rond en werden, ook in het hoger onderwijs, computers gegijzeld.

HOP/BB (met toevoeging van Marieke Kolkman)
BEELD: elhombredenegro (Flickr)

{ Lees de 1  reacties }

hits 2
Door Frank van Harmelen op 07 april 2018

Dit is niet een heel erg goed geinformeerd verhaal. Het gaat hier niet noodzakelijk om de passwd's voor VU accounts. Veel waarschijnlijker is het dat mensen een account hebben aangemaakt op een andere site (bv. een of andere webwinkel) en daar hun VU email hebben opgegeven. Het password dat ze op die site gebruikten ligt dan nu inderdaad op straat, maar het is dan lang niet gezegd dat dat password ook het password van hun VU account was.

Bovendien is het breed bekend dat de lijst ook lekken van vele jaren geleden bevat, en daarmee dus ook veelal zeer verouderde passwords.

(disclosure: ook van mij stond er een password op de lijst, dat (a) jaren oud was, en (b) nooit voor mijn VU account is gebruikt).

Reageren?

Houd je bij het onderwerp, en toon respect: commerciële uitingen, smaad, schelden en discrimineren zijn niet toegestaan. De redactie gaat niet in discussie over verwijderde reacties.

Deze vraag is om te controleren dat u een mens bent, om geautomatiseerde invoer (spam) te voorkomen.