Door Michiel Prins:
Onlangs heb ik samen met Jobert Abma onderzoek gedaan naar de beveiliging van de populaire e-learning applicatie Blackboard. Blackboard wordt wereldwijd gebruikt op universiteiten om onderwijsmateriaal aan te bieden, communicatie en samenwerking tussen studenten en docenten makkelijker te maken, maar ook online toetsing en cijferbeheer behoort tot de functionaliteit van Blackboard.
Uit dit onderzoek is gebleken dat Blackboard (Academic Suite, later Learn) een zeer groot aantal beveiligingslekken bevat. Een voorbeeld: een student die om kan gaan met Google kan eenvoudig zijn of haar niveau van ‘student’ ophogen naar ‘instructor’. Daarnaast kan met wat creativiteit onopgemerkt inlogcombinaties van Blackboard gebruikers worden gestolen, met alle gevolgen van dien.
Doordat op universiteiten en hogescholen vaak gebruik gemaakt wordt van dezelfde inlogcombinaties voor verschillende applicaties, kan een student door misbruik te maken van een lek in Blackboard opeens op veel meer diensten inloggen. Denk hierbij aan studentenadministratie, studieprogressie management tools, e-mail etc.
Om gebruikers van Blackboard te waarschuwen voor de risico’s die zij lopen, publiceerden wij een paper over het onderzoek. Hierin werd aandacht gegeven aan de verschillende soorten beveiligingsgaten die zijn gevonden en het risico dat dit vormt voor de gebruikers en beheerders van Blackboard.