Tienduizenden studenten waren maandenlang kwetsbaar voor hackers vanwege een lek in surveillancesoftware Proctorio. Door een zogeheten Universal Cross-Site Scripting aanval (UXSS) konden kwaadwillenden ongemerkt over de schouder van studenten meekijken en vertrouwelijke gegevens als wachtwoorden voor online accounts buitmaken. De exploit kwam in juni aan het licht en is snel daarna gedicht. Dat schrijft RTL Nieuws.
Door de coronapandemie krijgen studenten al bijna twee jaar lang niet op een normale manier onderwijs. Tentamens afleggen in een grote, goed gevulde collegezaal is er niet bij. Om ervoor te zorgen dat studenten geen studievertraging oplopen of extra veel onkosten moeten maken, bieden de meeste universiteiten en hogescholen de mogelijkheid van digitale examens aan. Iedereen kan dan vanuit thuis of een studentenkamer een tentamen afleggen.
Om er zeker van te zijn dat studenten niet spieken, maken onderwijsinstellingen gebruik van proctoringsoftware. Met deze software houden surveillanten studenten nauwlettend in de gaten, zowel tijdens als na afloop van het tentamen. Deze programma’s hebben verregaande mogelijkheden. Ze hebben toegang tot je webcam en microfoon, zien wat er op je beeldscherm staat, registreren toetsaanslagen en kunnen nagaan welke websites je hebt bezocht. Proctoringsoftware kan eveneens oogbewegingen meten en korte foto’s en video’s maken.
Volgens menig student is dit een verregaande inbreuk op hun privacy. De Centrale Studentenraad (CSR) van de Universiteit van Amsterdam (UvA) spande zelfs een kort geding aan bij de rechtbank, maar trok aan het kortste eind. De rechter noemde het gebruik van proctoringsoftware om tentamenfraude tegen te gaan een ‘gerechtvaardigd belang’. Ook in hoger beroep werd de CSR in het ongelijk gesteld. De Autoriteit Persoonsgegevens voert nog altijd onderzoek uit naar de privacyschending van proctoringsoftware.
Veel onderwijsinstellingen in ons land verplichtten studenten het afgelopen jaar om deze proctoringsoftware op hun computer te installeren. Dat wil zeggen, als ze wilden deelnemen aan het digitale tentamen. Het populairste pakket is Proctorio. Onder meer de Universiteit van Amsterdam, Vrije Universiteit Amsterdam, Erasmus Universiteit Rotterdam, Universiteit Tilburg, Hogeschool van Amsterdam en de Hogeschool van Utrecht gebruiken deze software.
Op verzoek van RTL Nieuws onderzochten Daan Keupers en Thijs Alkemade van Computest Proctorio. De securityspecialisten ontdekten een kwetsbaarheid in de software. Via een zogeheten Universal Cross-Site Scripting aanval (UXSS) was het voor hackers en cybercriminelen mogelijk om accounts over te nemen door simpelweg op een malafide link te klikken. Zodra men op deze link drukt, wordt de plugin van Proctorio in de webbrowser geactiveerd. Kwaadwillenden kunnen dan meekijken en gegevens stelen, zoals wachtwoorden van online accounts of betaaldiensten. Met andere woorden, vertrouwelijke gegevens van studenten lagen maandenlang voor het oprapen.
Keupers en Alkemade legden hun bevindingen op 18 juni voor aan Proctorio. Het bedrijf zegt blij te zijn met de ontdekking van de beveiligingsonderzoekers. Binnen een week nadat het lek werd gemeld, is hij gedicht. Of hackers deze kwetsbaarheid daadwerkelijk misbruikt hebben om vertrouwelijke gegevens te stelen, daar geeft Proctorio geen antwoord op.
De medewerkers van beveiligingsbedrijf Computest hebben nog wel een aantal tips voor studenten die Proctorio op hun computer hebben staan. Ze adviseren om de Proctorio-plugin direct nadat zij een tentamen hebben gemaakt te verwijderen en zo min mogelijk extra software te installeren. “De browser is één van de meest veilige programma’s op je computer. Door zo veel mogelijk in de browser te doen, bijvoorbeeld e-mailen, videobellen en documenten bewerken, verminder je het risico dat je wordt gehackt. Hoe meer software op je computer, hoe meer potentiële kwetsbaarheden er zijn”, aldus Keuper.
Alkemade raadt studenten aan om een apart browserprofiel aan te maken dat ze alleen gebruiken om online tentamens mee te maken. Door lang genoeg met een specifieke webbrowser te surfen, verzamelt hij informatie over onder meer je besturingssysteem, schermresolutie, browserextenties en computerhard- en software. Al deze informatie tezamen vormt een uniek profiel of fingerprint. Indirect kan daarmee informatie over jou worden verzameld door partijen als Facebook en Google. Je online anonimiteit is daardoor niet langer gegarandeerd.
