De UvA gebruikt een aangepaste versie van webportaal Blackboard, waarop zowel docenten als studenten kunnen inloggen. De studenten deden onderzoek naar de beveiliging ervan en kwamen toen diverse veiligheidslekken tegen die zij na het onderzoek doorgaven aan de bestuursraad van de UvA. Volgens de studenten heeft de raad hier weinig mee gedaan. 

 

De studenten constateerden onder anderen dat gebruikers na het beveiligde inlogscherm doorgestuurd werden naar een onversleutelde webpagina. Gebruikers konden onbeperkt proberen in te loggen vanuit één ip-adres. Ook konden wachtwoorden van gebruikers worden gewijzigd zonder dat daarvoor het oude wachtwoord nodig was.

 

Via hun eigen account konden de studenten aan de accountgegevens komen van 143.000 studenten en docenten. Omdat zij vervolgens ontdekten dat bij veel van deze accounts het wachtwoord hetzelfde was als de gebruikersnaam, konden zij zichzelf uiteindelijk toegang verschaffen tot bijna 11.000 accounts. Via één van de accounts hadden ze inzage in nog niet afgenomen examens.

 

Het onderzoek van de studenten vond vorig jaar al plaats. Omdat de UvA niet voldoende deed om de lekken te dichten volgens de studenten, hebben zij besloten hun onderzoek alsnog openbaar te maken.

 

Volgens de UvA heeft Blackboard in de zomer van 2016 een upgrade heeft gekregen en dat sindsdien regelmatig verdere patches worden doorgevoerd. Niet alle lekken zijn gedicht, maar de informatiebeveiliging “heeft continu onze aandacht", aldus de UvA.