NL EN
  • Home»
  • Weblog »
  • Beveiligingslek bij dertien universiteiten

Beveiligingslek bij dertien universiteiten

Twee scholieren hebben bij dertien universiteiten ontdekt dat er lekken zitten in de beveiliging van de website van de universiteiten. Door deze lek, een SQL-injectie, kan gecommuniceerd worden met de database. Op die manier kan een uitvoerbare code op een server gezet worden, waarmee de controle over de website kan worden overgenomen. Hierdoor is volledige toegang tot de data en aanpassen van de website mogelijk. Tevens ontdekte de scholieren dat bij sommige universiteiten de wachtwoorden van de gebruikers niet versleuteld waren opgeslagen.

Er is melding gedaan bij het Nationaal Cyber Security Center en het Computer Emergency Response Team van SURFnet: SURFcert. De universiteiten waarbij de lekken zijn ontdekt, zijn Radboud Universiteit, Rijksuniversiteit Groningen, TU Delft, Open Universiteit, Universiteit Twente en de universiteiten van Tilburg, Utrecht, Rotterdam, Wageningen, Amsterdam, Eindhoven, Maastricht en Leiden.

Lees het volledige bericht hier.

Overigens is dit niet de eerste keer dat universiteiten last hebben van beveiligingslekken. De universiteit van Utrecht kampte in oktober 2011 ook al met dezelfde soort lekken. Een deel van deze lekken was toen ontdekt door eigen studenten, de overige door webwereld. Via deze lek kon toegang tot persoonsgegevens van studenten en medewerkers worden verkregen.

Ook de Radboud Universiteit kent het probleem van beveiligingslekken. In december 2011 bleek er een lek in het computernetwerk van de universiteit te zitten, waardoor medewerkers en studenten die waren ingelogd de salarissen van medewerkers en adresgegevens van medewerkers  en studenten konden inzien.

BRON: nu.nl


PAGINA DOORSTUREN

DEZE PAGINA IS SUCCESVOL DOORGESTUURD!

REACTIES (3)

daiman vrijdag 10 augustus 2012 12:56

Ik zie hier ook een link naar webwereld staan.
Dit hebben wij vorig jaar ook aan het ligt gebracht via webwereld dus UU heeft niet veel met onze tips gedaan helaas :(

Alex Rothuis vrijdag 10 augustus 2012 18:38

Altijd bedroevend: berichten over SQL-injections. Zeker wanneer het universiteiten betreft. Het is namelijk erg makkelijk te voorkomen: gebruik maken van prepared statements (php/mysqli) en indien nodig sanitizen (ervoor zorgen dat er geen SQL-code ingevoerd kan worden). Ook het niet gebruik maken van password hashes is een bad practice. Simpel op te lossen door wachtwoorden serverside te encrypten via SHA-1 (of beter) voordat je ze opslaat in de database en bij inloggen wachtwoorden tegen die encrypted code op te zoeken. De meeste serverside talen kennen daar functies voor.
Om dan wat beter beveiligd te zijn tegen brute force attacks (veel gebruikte woorden en combinaties hashen en dan als wachtwoord proberen), kan je de wachtwoorden nog voorzien van een salt die willekeurige tekens toevoegt aan elk wachtwoord. Hierdoor worden de wachtwoordhashes minder voorspelbaar en dus minder gevoelig voor brute force attacks.

EEN REACTIE PLAATSEN

UW E-MAIL ADRES WORDT NIET GETOOND AAN ANDERE BEZOEKERS.

  1. NAAM
  2. E-MAILADRES
  3. BERICHT
  4. WANNEER U DEZE REGEL KUNT LEZEN, VUL HET VOLGENDE VELD DAN NIET IN!
  5.