DUO (Dienst Uitvoering Onderwijs) die onder andere het verstrekken van de studiefinanciering en de studenten-ov-jaarkaart regelt, heeft persoonlijke gegevens van studenten laten uitlekken. Gebruikers die via DigiD inlogden op de DUO-website, konden gegevens van anderen te zien krijgen.

RTL Nieuws bracht het beveiligingslek aan het licht. Een studente vertelde RTL Nieuws dat ze na het inloggen op de DUO-site gegevens van een andere student kon bekijken. Na de ontdekking is de website direct uit de lucht gehaald

Het is via de website ook mogelijk gegevens te wijzigen zo kan de ov-jaarkaart worden stopgezet. Een studie stopzetten behoort niet tot de mogelijkheden. Of door de fout ook gegevens gewijzigd konden worden is niet bekend. Ook is onbekend hoeveel gebruikers precies informatie van andere gebruikers hebben kunnen zien.

Het beveiligingslek zou zich hebben voorgedaan door de ‘grote drukte' waarmee DUO te maken zegt te hebben gehad. Daardoor waren verkeerde gegevens aan elkaar gekoppeld. De fout ligt dus bij DUO en niet bij het beveiligingsmechanisme DigiD.