Onderzoekers Jobert Abma en Michiel Prins van het beveiligingsbedrijf Online24 deden onderzoek naar de beveiliging van Blackboard Academic Suite, de defacto marktleider op het gebied van e-learning voor scholen en universiteiten. In totaal ontdekten zij 84 lekken.

Ernstige zwakheden

In een rapport (pdf) schetsen de experts een systeem dat niet met beveiliging in het achterhoofd ontworpen lijkt. Zo wordt niet altijd gecontroleerd of gebruikers acties wel mogen uitvoeren, is de applicatie gevoelig voor xss-aanvallen en wordt veel te veel informatie gelekt bij fouten. Ook is het bijvoorbeeld mogelijk mailformulieren te manipuleren, zodat het versturen van spam mogelijk is en staan de rechten van bestanden niet goed.

Dat laatste probleem betekent effectief dat het mogelijk is om bestanden van een server weg te gooien. Het gevolg is niet alleen dat Blackboard niet meer functioneert, maar kan volgens de ontdekkers ook betekenen dat een mailserver of Active Directory (authenticatiedienst) onderuit gaat.

Eenvoudige diploma's

Maar het meest opvallend is misschien wel dat de zwakheden de deur openen naar het aanpassen van studieresultaten. "Gebruikers van Blackboard lopen een groot risico. Niet alleen de privacy van de gebruikers staat op het spel, ook tentamens kunnen worden gestolen. Mede door de komst van single sign-on systemen kunnen cijfers worden aangepast of in het ergste geval kan een student zelfs in een handomdraai afstuderen", vertelt Abma tegenover Webwereld.

Dat versie 8 van de software is onderzocht en niet de nieuwste 9.1 versie maakt volgens Prins weinig verschil en zijn veel lekken niet verholpen: “In versie 9.1 zijn een aantal problemen aangepakt, maar Blackboard heeft nog een lange weg te gaan.”

Betere bescherming

Abma en Prins trokken al in Februari bij Blackboard aan de bel met het rapport en de technische details van de lekken. Maar dat leidde niet tot concrete actie bij het bedrijf en daarom hebben de experts hogescholen en universiteiten van de problemen op de hoogte gebracht om daarmee de risico's te beperken.

Nadat Webwereld om commentaar vroeg, vertelt het bedrijf zich bewust te zijn van de problemen en hierop actie te ondernemen. "Dit zijn veel voorkomende kwetsbaarheden van alle web gebaseerde applicatie", reageert Bob Alcorn, Chief Architect bij BlackBoard. Hij belooft de zwakheden onder de loep te nemen en te verbeteren.

Alcorn wijst erop dat zijn onderneming in de nieuwste versie al maatregelen tegen XSS-lekken heeft genomen en dat die daarom minder gevoelig is. Ook belooft het bedrijf nu de problemen te patchen voor zowel de nieuwste als oudere versies van het product. Inmiddels heeft het bedrijf ook contact met de onderzoekers opgenomen en ze bedankt voor het attent maken op de problemen.