De universiteit Utrecht (UU) is over een deel van deze lekken vorige week al ingelicht door eigen scholieren. Dit bevestigt security officer René Ritzen van de UU. Hij bedankt Webwereld voor het melden van de overige lekken en geeft aan dat de betreffende scholieren er ook al voor zijn bedankt.

Snel afdichten

“Op basis van hun melding zijn we onmiddellijk een onderzoek gestart en hebben we inmiddels al een aantal reparatiewerkzaamheden uitgevoerd." Controle door Webwereld wijst uit dat de aangemelde url's nu geen informatie meer lekken. Volgens de tipgevers van Webwereld waren de persoonsgegevens van tienduizenden studenten en ook universiteitsmedewerkers buit te maken.

Dat omvat niet alleen semi-openbare informatie als hun naam, studie en vooropleiding. Ook hun woonadressen, persoonlijke mailadressen, UU-gebruikersnamen en hun wachtwoorden voor de UU-inlog waren toegankelijk. De universiteit geeft gebruikers zelf diverse beveiligingstips waaronder het voor jezelf houden van wachtwoorden.

Niet versleuteld

De lekkende privé-informatie is volgens de ontdekkers niet versleuteld opgeslagen. De gegevens stonden in een database die via SQL-injectie van buiten af toegankelijk is. De UU-website was - samen met enkele subsites daarvan - kwetsbaar voor deze vorm van hacken. Het CERT (computer emergency response team) van de universiteit neemt nu de eigen systemen door op deze kwetsbaarheden.

Naast persoonsgegevens levert de SQL-injectie ook informatie op over het ict-beheer van de universiteit. Zo zijn er tabellen zichtbaar over backups, ook van medewerkers, naast tabellen over de groepen, rollen en gebruikers van zogeheten access control lists (ACL's) voor de websitefora.

Impact onderzoeken

Beveiligingsdirecteur Ritzen geeft aan dat de impact van de lekken nog wordt onderzocht. “Ook met deze nieuwe melding ligt onze prioriteit bij het onderzoek naar de impact en zijn onze acties er op gericht om eventuele fouten zo spoedig mogelijk op te lossen." Op vervolgvragen van Webwereld moet hij nog terugkomen. Ritzen heeft al aangegeven een update te willen geven.