En wat is daar het praktisch nut van? Dit klinkt als hobbyproject van een iets te ijverige bestuurder.
En wat krijg je dan voor je 2 ton? Een setje camera’s met ingebakken veiligheidsissues… gaat lekker zo.
> Uit verdere analyse bleek dat de inlogpagina zelfs het wachtwoord in versleutelde vorm laat zien aan niet-ingelogde gebruikers. Wie door de html bladert, leest ‘<password enc=”true”>bxJF…’ (ingekort om veiligheidsredenen). Even verderop in de code is ook te zien met welk algoritme dit versleutelde wachtwoord gemaakt is, wat de mogelijkheid biedt om het te kraken en toegang te krijgen tot het systeem. Door het gebruik van een zogenoemde salt op het wachtwoord is dat kraken weliswaar moeilijker, maar ook deze salt is in de code terug te vinden. Of de mastercode van het systeem ook op deze manier te achterhalen is, is niet duidelijk.
Dit is echt bizar scha(n)delijk. Het wachtwoord stond gewoon in de html, mét info over de versleuteling. Dit gaat echt ver voorbij een foutje.
De loginpagina was openbaar toegankelijk, met onbeveiligde verbinding en basically alle informatie die je zou willen hebben, los van de beelden zelf, stond in de html. Hier mag iemand z’n baan wel om verliezen, lijkt me.
>Wel heeft hij geadviseerd om een verwerkersverklaring op te stellen.
De universiteit wil echter geen inzage geven in het enige document
waarin afspraken over de dataverwerking zijn vastgelegd.
Ironisch, de afspraken over privacy zijn beter afgeschermd dan inlogpagina’s van het systeem zelf. Misschien staan die afspraken ook ergens publiek op het internet.
​
>‘Als de Autoriteit Persoonsgegevens gaat handhaven omdat camera’s meer
functionaliteit aan hebben staan dan nodig kan dat tot een grote boete
leiden’, zegt Jacobs. ‘**Sterker nog, iedere student of medewerker kan bij**
**de AP een handhavingsverzoek indienen**. Zo’n boete zou erg pijnlijk zijn
voor de universiteit.’
Nou, ik ben benieuwd of het eerste verzoek al binnen is na publicatie van dit artikel.
Eén van mijn vrienden is hier samen met de JOVD mee bezig. Goed dat het in de publiciteit komt.
Ik ben ontzettend trots op onze studentenkranten. Ze leveren ontzettend goede journalistiek.
Zo vreemd dat het de universiteit gewoon niet veel lijkt te boeien (als je kijkt naar wat voor antwoorden de universiteit geeft). Wat een sterk artikel zeg.
9 comments
En wat is daar het praktisch nut van? Dit klinkt als hobbyproject van een iets te ijverige bestuurder.
En wat krijg je dan voor je 2 ton? Een setje camera’s met ingebakken veiligheidsissues… gaat lekker zo.
> Uit verdere analyse bleek dat de inlogpagina zelfs het wachtwoord in versleutelde vorm laat zien aan niet-ingelogde gebruikers. Wie door de html bladert, leest ‘<password enc=”true”>bxJF…’ (ingekort om veiligheidsredenen). Even verderop in de code is ook te zien met welk algoritme dit versleutelde wachtwoord gemaakt is, wat de mogelijkheid biedt om het te kraken en toegang te krijgen tot het systeem. Door het gebruik van een zogenoemde salt op het wachtwoord is dat kraken weliswaar moeilijker, maar ook deze salt is in de code terug te vinden. Of de mastercode van het systeem ook op deze manier te achterhalen is, is niet duidelijk.
Dit is echt bizar scha(n)delijk. Het wachtwoord stond gewoon in de html, mét info over de versleuteling. Dit gaat echt ver voorbij een foutje.
De loginpagina was openbaar toegankelijk, met onbeveiligde verbinding en basically alle informatie die je zou willen hebben, los van de beelden zelf, stond in de html. Hier mag iemand z’n baan wel om verliezen, lijkt me.
>Wel heeft hij geadviseerd om een verwerkersverklaring op te stellen.
De universiteit wil echter geen inzage geven in het enige document
waarin afspraken over de dataverwerking zijn vastgelegd.
Ironisch, de afspraken over privacy zijn beter afgeschermd dan inlogpagina’s van het systeem zelf. Misschien staan die afspraken ook ergens publiek op het internet.
​
>‘Als de Autoriteit Persoonsgegevens gaat handhaven omdat camera’s meer
functionaliteit aan hebben staan dan nodig kan dat tot een grote boete
leiden’, zegt Jacobs. ‘**Sterker nog, iedere student of medewerker kan bij**
**de AP een handhavingsverzoek indienen**. Zo’n boete zou erg pijnlijk zijn
voor de universiteit.’
Nou, ik ben benieuwd of het eerste verzoek al binnen is na publicatie van dit artikel.
Eén van mijn vrienden is hier samen met de JOVD mee bezig. Goed dat het in de publiciteit komt.
[deleted]
De gemeente Enschede heeft onlangs nog een boete gekregen voor iets vergelijkbaars. Dat ging toen om [wifi-tracking](https://www.rtlnieuws.nl/tech/artikel/5228057/zes-ton-boete-enschede-voor-wifi-tracking-binnenstadpubliek), ook met de bedoeling om “mensen te tellen”, maar dat was natuurlijk makkelijk te misbruiken. Dit systeem is nog veel privacygevoeliger.
Ik ben ontzettend trots op onze studentenkranten. Ze leveren ontzettend goede journalistiek.
Zo vreemd dat het de universiteit gewoon niet veel lijkt te boeien (als je kijkt naar wat voor antwoorden de universiteit geeft). Wat een sterk artikel zeg.