Universiteitssoftware vol lekken
Blackboard Academic Suite, de e-learning-webapplicatie voor hogeschool- en universiteitsstudenten, telt liefst 84 lekken.
Dit ontdekten Jobert Abma en Michiel Prins, onderzoekers bij het beveiligingsbedrijf Online 24. Uit hun rapport blijkt dat de beveiliging behoorlijk gebrekkig is.
De schadelijkste fout is dat studenten hun cijfers kunnen aanpassen. “Gebruikers van Blackboard lopen een groot risico”, zegt Abma tegenover Webwereld. “Niet alleen de privacy van de gebruikers staat op het spel, ook tentamens kunnen worden gestolen. Mede door de komst van single sign-on-systemen kunnen cijfers worden aangepast, of in het ergste geval kan een student zelfs in een handomdraai afstuderen.”
Daarnaast is het mogelijk om misbruik te maken van rechten. Zo kunnen gebruikers acties ongecontroleerd uitvoeren, kunnen ze webformulieren manipuleren en bestanden zomaar van de server verwijderen. Ook is de software kwetsbaar voor XSS-aanvallen. Gedurende het onderzoek deden er zich 63 voor. Wie hier misbruik van maakt, kan gebruikersgegevens stelen.
Tot slot: wanneer zich een fout voordoet, wordt er te veel gevoelige informatie weggeven aan potentiële aanvallers.
Fouten worden niet gedicht
Abma en Prins onderzochten versie 8. Inmiddels is Blackboard toe aan versie 9.1, en het heet nu Blackboard Learn. Het merendeel van de lekken is daarentegen niet gedicht, ondanks dat de onderzoekers de beheerders van Blackboard al in februari over het probleem inlichtten. Naar eigen zeggen zijn ze er nu wel mee bezig.
