Twee HvA-studenten ontdekten het lek, schrijft hogeschoolblad Folia. De UvA gebruikt een zwak certificaat, die van de HvA is verouderd. "Dat doen ze waarschijnlijk zodat oudere browsers ook ondersteund worden, maar dat maakt hen kwetsbaar voor aanvallen," aldus de studenten.

Gevolg is dat met een man-in-the-middle-aanval inloggegevens van studenten zijn te stelen. Na meerdere meldingen kregen de studenten geen reactie van de ICT Services-afdeling van de HvA en de UvA, waarna ze het lek openbaar hebben gemaakt.

SSL-verbindingen strippen

De studenten demonstreren het lek een video. Ze gebruiken een tool waarmee SSL-verbindingen zijn te strippen en de verouderde SSL-versies zijn te omzeilen. "Stel je voor dat we ons netwerk 'eduroam' hadden genoemd. Alle studenten en medewerkers loggen daar nietsvermoedend op in, waardoor we al hun HvA- en UvA-inloggegevens hadden kunnen inzien." Een HvA-woordvoerder erkent inmiddels wel dat de SSL-beveiliging kwetsbaarheden heeft.