Studenten ontdekken: achterdeur TU-mailverkeer stond wagenwijd open

De rector magnificus die van burgemeester Marja van Bijsterveldt een e-mail ontvangt met daarin haar voornemen om de vergunningen van studentenverenigingen per direct in te trekken. Een student die bericht krijgt van zijn onderwijsdirecteur dat hij wegens fraude geschorst is of een phishing e-mail uit naam van de ondernemingsraad.

Phishing
Een groep studenten ontdekte tijdens een studieproject dat zij zonder opgave van gebruikersnaam en wachtwoord verbinding konden maken met de server die al het inkomende en uitgaande mailverkeer van de TU regelt. Hierdoor konden zij intern e-mails versturen vanuit ieder @tudelft.nl-acount en namens externen e-mails versturen naar iemand binnen de TU, zoals hierboven als voorbeelden beschreven.

Hiervoor moest wel aan bepaalde voorwaarden worden voldaan. Zo was er, vermoeden de studenten, een link nodig met het TU-netwerk. Zo gaven Eduroam (het wereldwijze onderwijs-wifi-netwerk) en het TU-gastennetwerk toegang.

Dit betekende dat ook externen misbruik konden maken van het gebrek aan authenticatie. De studenten vreesden hierdoor voor grootschalige phishing, een vorm van internetfraude waarbij criminelen persoonlijke informatie zoals inloggegevens en creditcardcodes ontfutselen.

Ernstig zorgen
De studenten deelden direct hun bevindingen en zorgen met de directie ICT van de TU Delft. In een reactie die door Delta is ingezien schreef de directie dat de toegang geen fout betrof, ‘maar deel uitmaakt van de mailservice’. “Alsof het een feature is die erbij hoort”, aldus een van de studenten.

De groep benaderde Delta om een oplossing te forceren. Ze maakten zich ernstig zorgen dat zowel in- als externen misbruik zouden maken van deze beveiligingsfout. Denk aan phishingacties en kwaadaardige grappen. “Zoals een eerstejaars mailen dat hij is geschorst. De mogelijkheden zijn wat dat betreft eindeloos.”

Het doet denken aan eerdere oplichting waar criminelen op naam van de TU voor twee ton aan robotstofzuigers en iPads probeerde te bestellen. Die actie mislukte, maar door een beveiligingslek in het TU-mailverkeer staat de achterdeur wagenwijd open voor andere kwaadwillenden, concludeert de groep.

Sancties
Uit angst voor sancties vanuit de universiteit blijft de groep liever anoniem. Delta heeft contact met één van hen, diens naam is bij de redactie bekend. Volgens directeur ICT Erik Scherff en Chief Information Security Officer Jérôme Zijderveld is er absoluut geen sprake van sancties, integendeel.

‘De alertheid en proactieve betrokkenheid van de studenten benadrukken juist het belang van een gezamenlijke aanpak voor de veiligheid van onze digitale omgeving’, schrijven ze in een mail. ‘Om de veiligheid en integriteit van onze digitale systemen te waarborgen nodigen we studenten en medewerkers juist uit om actief deel te nemen aan dit proces. Voor het melden van kwetsbaarheden hebben we een zogenoemd responsible disclosure beleid.’

‘We waarderen de directe communicatie van de studenten en betreuren het feit dat er onvoldoende recht is gedaan aan de melding. Dit had anders gemoeten en we zullen er dan ook extra aandacht aan besteden om dit in de toekomst te voorkomen.’

Risico beperken
Volgens de directie ICT is de kwetsbaarheid in een ‘ver verleden’ ontstaan. ‘Dit maakte het mogelijk om e-mails te versturen vanuit systemen zoals onderzoeksopstellingen.’ Er zijn volgens hen geen signalen dat er misbruik is gemaakt.

De aanstaande mailmigratie naar Microsoft 365 zal de kwetsbaarheid definitief oplossen. Tot die tijd heeft ICT niet nader genoemde maatregelen getroffen om het risico op misbruik te beperken. Om veiligheidsredenen heeft Delta bijna twee weken gewacht met publicatie van dit artikel. De studenten bevestigen dat het inderdaad niet meer mogelijk is om mails uit naam van iemand anders te versturen.