Dertien universiteiten, waaronder de Universiteit Utrecht (UU), blijken gisteren kwetsbaar te zijn geweest te zijn voor een datalek in de website. Dat blijkt uit een bericht op nu.nl. Een en ander werd ontdekt door twee scholieren. In sommige gevallen waren persoonsgegevens toegankelijk. 

Tijdens het testen van de websites op kwetsbaarheden troffen de twee scholieren tientallen datalekken aan. Daarbij bleek het telkens om eenzelfde type lek te gaan, een zogenaamde SQL-injectie. Een dergelijk datalek houdt in, dat er een zwakheid in de website zit waardoor gecommuniceerd kan worden met de database. Normaal is die database volledig afgeschermd.De getroffen instellingen zijn de Radboud Universiteit, Rijksuniversiteit Groningen, TU Delft, Open Universiteit, Universiteit Twente en de universiteiten van Tilburg, Utrecht, Rotterdam, Wageningen, Amsterdam, Eindhoven, Maastricht en Leiden.

Door via het lek een uitvoerbare code op een server te zetten kon de ‘aanvaller’ de regie over de website te krijgen. Dat betekent dat naast volledige toegang tot de data ook de website is aan te passen. De scholieren adviseren de universiteiten beter te controleren voordat een website op internet wordt gezet en wachtwoorden veiliger op te slaan. Ook verwijten zij de universiteiten een gebrek aan toezicht op de server, omdat de lekken lang hebben bestaan. Inmiddels zijn de lekken gedicht.