Twee HvA-studenten hebben ontdekt dat de inlogpagina’s van UvA en HvA, gebruik maken van een verouderd en zwak SSL-certificaat. Hierdoor worden gebruikersgegevens gelekt op de beveiligde pagina’s. De twee studenten hebben dit gemeld aan Folia.
Door een Raspberry Pi op hun laptop aan te sluiten, konden ze een van eduoram-afgeleid netwerk aanmaken. Hierdoor was het mogelijk dat studenten en medewerkers van de HvA en de UvA zich aanmelden op dit netwerk, terwijl ze denken dat ze gewoon verbinding maken met het gebruikelijke WiFi-netwerk. Vervolgens is het de twee studenten gelukt om de SSL-verbindingen van de inlogpagina’s te strippen. Op die manier lijkt een pagina veilig dankzij het SSL-certificaat, terwijl op de achtergrond de inloggegevens onversleuteld worden buitgemaakt.
“Stel je voor dat we ons netwerk ‘eduroam’ hadden genoemd. Alle studenten en medewerkers loggen daar nietsvermoedend op in, waardoor we al hun HvA- en UvA-inloggegevens hadden kunnen inzien“, stellen de studenten tegenover Folia. Het is niet zo dat ze kwade bedoelingen hadden met dit lek, aangezien ze het al -sinds de ontdekking in september- meerdere keren hebben aangekaart bij de ICT-afdelingen van de UvA en HvA, die er vervolgens niks mee hebben gedaan…
HvA-woordvoerder Meike Verhagen is al lekker begonnen met damage control, zij verklaard tegenover Folia namelijk dat het niet zeker is dat de “kwetsbaarheden in het beveiligingsniveau van de sites van de UvA en de HvA bij deze aanval een rol hebben gespeeld“.
