Veiligheidsprobleem nieuwe Blackboard Universiteit Utrecht

Dinsdagmiddag zag ik in de Facebookgroep van mijn studievereniging dat je makkelijk kon inloggen op het admin account van de nieuwe Blackboard van de UU. Er stond letterlijk: “het wachtwoord is niet 123123”, waardoor ik dacht dat het iets anders met cijfers was. Dus ik heb een aantal dingen geprobeerd (1234, 12341234, 0000, 2012, dat soort dingen), maar dat werkte allemaal niet. Doordat ik er vanuit ga dat mensen niet elke keer weer dezelfde fouten maken, dacht ik niet eens aan de combinatie van ‘admin’ en ‘admin’ als gebruikersnaam en wachtwoord. Ik dacht dat het inmiddels al wel was opgelost en ging rustig eten en naar de Olympische Spelen kijken.

Een paar uur later kwam ik terug en zag ik dat anderen er in waren geslaagd om ook binnen te komen. Dus ging ik verder met proberen en toen kwam ‘admin’/’admin’ wel in mij opzetten, met het idee: “dat is het tóch niet”. Dat was het wel. Ik vond het op dat moment écht onbegrijpelijk: als grote Universiteit een account met alle rechten binnen Blackboard die alle wachtwoorden kan veranderen, zó makkelijk weggeven. Nu vind ik het niet meer onbegrijpelijk, maar daar zo meer over.

Vanuit mijn goede hart ben ik twee dingen gaan doen: 1) kijken wát ik allemaal kan zien (naam, email adres, studentnummer, geslacht, rol (student, medewerker, …), vakken die iemand volgt, alles wat in Blackboard groepen staat, …) en 2) kijken waar ik het wachtwoord van het admin-account kan veranderen. Doordat ik 1 té gevaarlijk vond om zomaar open en bloot te laten, heb ik besloten om dat wachtwoord te veranderen. Misschien valt het onder hacken, maar ik weet welke bedoeling ik had: zorgen dat niemand anders er nog in kan. Ik heb gelijk nadat ik het veranderd had, een email gestuurd aan 10 belangrijke mensen (rector, college van bestuur, persvoorlichters, aantal mensen van mijn faculteit), want ik kon nergens vinden wie ik zou moeten hebben.

Een paar minuten later zag ik op de Facebookgroep staan dat iemand anders ook het wachtwoord had veranderd, dus probeerde ik in te loggen en dat werkte. Het systeem achter de nieuwe Blackboard is blijkbaar slecht, want je hoeft het oude wachtwoord niet op te geven als je een wachtwoord veranderd én er kunnen meerdere mensen ingelogd zijn. Daardoor gebeurde het volgende, dat duidelijker is in een ‘plaatje’:

Hij logde in.
Ik logde in.
Hij veranderde het wachtwoord.
Ik veranderde het wachtwoord.
Ik controleerde het wachtwoord, dat klopte nog.
Hij veranderde het wachtwoord, want hij was nog ingelogd.
Ik was uitgelogd en kon niets meer.

Gelukkig had hij dezelfde bedoelingen, dus heb ik die 10 mensen kunnen mailen dat ik het wachtwoord niet meer had, maar dat een ander ook al had gemaild en dat die het verder zou oplossen. Eind goed, al goed.

De volgende dag werd ik gebeld door de leider van het CERT (Computer Emergency Response Team) van de UU: of ik een gesprek wilde met daarin de uitleg van hoe dit heeft kunnen gebeuren. Hij wist dat ik het wachtwoord niet meer had en dat maakte verder niet uit. Ik ben gelijk die middag naar de UU gegaan om met hem (en twee anderen) te praten.

De uitleg zal ik heel oppervlakkig houden: er draaiden twee oudere (en verschillende) versies van Blackboard doordat verschillende departementen verschillende versies hadden. Door een overkoepeling kwam je automatisch in beide versies als je bij de UU hoorde. Gastdocenten horen dat echter niet, waardoor zij maar in één van de twee systemen thuishoorden. Dat stuk werd geregeld door een extern bedrijf en daar is een (grote) fout in gemaakt, maar die was niet te gebruiken door een andere overkoepeling. Nu alles werd overgezet naar de nieuwe Blackboard (zonder overkoepeling), kwam de fout opeens naar boven drijven: gastdocenten bestonden ook in het andere systeem (waar ze verder geen toegang hadden), maar hadden daar het default/standaard wachtwoord gekregen: ‘admin’. Blijkbaar was er óók een gebruiker op dezelfde manier aangemaakt met de naam ‘admin’, waardoor je met ‘admin’/’admin’ kon inloggen in het nieuwe systeem.

In principe hield het daar op, behalve natuurlijk dat ik mij verplicht voel om hierover te schrijven. Het is dan wel gekomen door deze specifieke samenloop van omstandigheden, maar toch zijn er fouten gemaakt (default wachtwoord van het externe bedrijf, niet controleren door de UU). Ik vind dat niet kunnen: er lagen gegevens op straat van meer dan 30.000 studenten en 8.000 medewerkers. Wat ik ook niet vind kunnen, is dat mij tussen de regels door duidelijk is verteld dat ik geen weet had van de impact van mijn mail en actie. Ik wist précies wat er zou gebeuren als ik het hele college van bestuur zou mailen: als het goed is, voelen de verantwoordelijken zich nu bekeken en gaan ze beter hun best doen. Ik wist précies wat mijn actie uithaalde: misschien overtreed ik de wet in letterlijke zin, maar liever dat ík de wet overtreed, dan dat iemand met slechte bedoelingen met al die gegevens er vandoor gaat. Dat tweede vind ík zwaarder wegen en in mijn ogen zou iedereen het met mij eens moeten zijn.

Achteraf gezien zou je kunnen zeggen dat er niet heel veel te halen viel, maar dat komt doordat het nieuwe Blackboard helemaal losstaat van de oude systemen. Het had best zo kunnen zijn dat dat wachtwoord ook gebruikt werd voor Osiris, waar álle informatie over mij staat: adres, geboortedatum, foto, telefoonnummers, cijfers. Daar kan je je ook in- en uitschrijven voor vakken. Met een bot was het echt niet ondenkbaar om daar een hele hoop verwarring in te schoppen, zoals: “we veranderen het wachtwoord, halen alle gegevens uit Osiris en schrijven iedereen uit voor alle vakken. Dat wordt leuk als ze thuis komen van vakantie!” Vooraf en tijdens is het lastig in te zien wát er daadwerkelijk kan gebeuren. Het is belangrijker om te voorkomen dat er íets kan gebeuren en dat heb ik gedaan.

Dit bericht is geplaatst in de categorie Beta. Bookmark de permalink.

3 Reacties op Veiligheidsprobleem nieuwe Blackboard Universiteit Utrecht

  1. Nicole zegt:

    Wat belachelijk zeg. Hoe dom kun je zijn als universiteit? Ik denk ook dat je zo goed gehandeld hebt, trouwens. Hopelijk denken ze nu twee keer voordat ze zulke fouten maken.

  2. Liann. zegt:

    Erg dat dit heeft kunnen gebeuren! In mijn ogen heb jij juist gehandeld.

Geef een reactie

Jouw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *