Twee studenten van de opleiding Security & Network Engineering aan de UvA hebben een datalek in het Student Informatie Systeem van de universiteit ontdekt. Via het inmiddels gedichte lek konden ze de cijfers van alle 34.000 studenten inzien.

Het lek dat de studenten Tiko Huizinga en David Garay in het SIS van de UvA aantroffen, betrof de mogelijkheid om simpelweg de url aan te passen. Als studenten hun cijfers wilden inzien, gaf het cijfer achter CRSE ID in de url aan om welk vak het ging, terwijl het cijfer achter EMPLID het studentnummer betrof. Ze beschrijven hun bevindingen in een paper.

"Verander het EMPLID naar het studentnummer van een andere student en je ziet zijn naam, de naam van dat vak en zijn cijfer voor hetzelfde vak. Verander vervolgens het CRSE ID naar dat van een ander vak en je ziet het cijfer van deze student voor dat andere vak", schrijven de twee in hun onderzoeksdocument.

De studenten stuitten volgens Tiko Huizinga door puur toeval op het lek. "We waren op zoek naar ons cijfer voor een vak en zagen een studentnummer in de url staan", laat hij aan Tweakers weten. "David viel het op dat er een studentnummer in de url stond. Toen logde ik in en vulde zijn studentnummer in. Vervolgens kreeg ik voor een halve seconde zijn naam, naam van het vak en cijfer te zien, waarna we doorverwezen werden naar een foutmelding."

SIS gaf bij de wijziging een doorverwijzing met de melding dat de persoon geen autorisatie heeft om de pagina te bekijken, maar de gegevens bleven ongeveer een halve seconde zichtbaar. De studenten leidden hieruit af dat de autorisatie clientside plaatsvond en het uitschakelen van JavaScript maakte inderdaad dat er geen doorverwijzing meer plaatsvond en de cijfers zichtbaar bleven. Bovendien was het zo dat er, als het studentnummer niet werd ingevuld, een overzicht van alle studentnummers verscheen en dat er bij het leeg laten van de vakcode een lijst met alle vakcodes zichtbaar werd.

De ontdekkers gaan ervan uit dat de gegevens geautomatiseerd te scrapen waren, omdat het om het simpelweg aanpassen van de url ging. "Dit hebben wij niet geprobeerd omdat we niet verder wilden gaan dan nodig om het lek aan de kaak te stellen. We hebben het alleen handmatig van een aantal medestudenten en verschillende vakken met toestemming van betreffende studenten uitgeprobeerd", aldus Huizinga.

Ze troffen het lek op 6 mei aan en meldden dit een dag later. Nog diezelfde dag kregen ze een bedankje van het Computer Emergency Response Team van de UvA en op 8 mei voerde het team een fix bij SIS door. Ook was de functionaris gegevensbescherming ingelicht. Aanvankelijk was er geen melding gedaan bij de Autoriteit Persoonsgegevens, maar in juni is besloten dit alsnog te doen, omdat een lijst van alle studentnummers op te vragen was. Na analyse van de logs van SIS heeft de UvA geconcludeerd dat er 'geen datadumps uit SIS zijn gehaald waarbij het studentnummer in de url is verwisseld'. De UvA claimt dan ook 'geen enkele aanwijzing te hebben dat er misbruik is gemaakt waarbij gegevens in handen van derden zijn gevallen'.

In 2016 trof student Nelson Berg ook al een lek aan in het Student Information System dat de UvA en de HvA gebruiken. Daarmee kon hij op eenvoudige wijze persoonsgegevens en foto's van meer dan 500.000 medestudenten binnenhalen.