Home NieuwsRadboud Universiteit Fout in beveiligingssysteem Osiris

Fout in beveiligingssysteem Osiris

door Redactie

Vorige week maandag werd er een ‘kwetsbaarheid’ in het beveiligingssysteem van Osiris ontdekt. Bij extreme drukte op het studentenportaal van de Radboud Universiteit (RU) werden de wachtwoorden niet altijd gecontroleerd. Het incident is vandaag bekend gemaakt.

Tekst: Myrte Nowee

Het lek in OSIRIS werd ontdekt door medewerkers van het ISC. Er bleek dat bij gevallen van buitengewone drukte op het online studentenportaal de gebruikelijke wachtwoordautorisatie in uitzonderlijke gevallen niet werkte. Dit houdt in dat in theorie studenten gegevens van andere studenten hebben kunnen bekijken wanneer zij een studentnummer van iemand anders zouden hebben ingevuld en de autorisatie niet werkte. ‘Daarom is de kans daarop erg klein’, vertelt Thomas Dessing, hoofd Student Systems. De student heeft om op het portaal te komen gewoon moeten inloggen met de eigen gegevens.

Enkele uren na de ontdekking werd de link tussen het portaal en Osiris offline gehaald waarmee het probleem tijdelijk werd opgelost. Diezelfde middag werd het probleem definitief verholpen. Of dit probleem in het verleden vaker is voorgekomen is niet duidelijk. ‘We hebben direct onderzocht of er sprake van misbruik is geweest. Daar hebben we geen bewijs voor, maar volledig uitsluiten kunnen we niet’, aldus Dessing.

Opgelost
Dat het incident pas een week later naar buiten is gekomen, heeft te maken met intern onderzoek dat afgelopen week heeft plaatsgevonden. Wel is er op 2 september gemeld dat er inlogproblemen waren op de meldingenpagina. ‘We wilden eerst onderzoeken hoe dit heeft kunnen gebeuren en het direct oplossen’, aldus Dessing. Verder hebben we ook andere instellingen geïnformeerd over deze kwetsbaarheid. Ondanks dat de omstandigheden uniek hebben moeten zijn om misbruik te kunnen maken van de zwakte in het veiligheidssysteem is de zaak duidelijk serieus genomen. ‘We zijn er best wel van geschrokken’, vertelt Dessing, ‘dit kan natuurlijk niet.’  

De zaak is formeel tot een beveiligingsincident bestempeld en is inmiddels definitief verholpen.

Laat een reactie achter

Gerelateerde artikelen