Tienduizenden studenten waren maandenlang een gemakkelijke prooi voor hackers door onveilige surveillancesoftware. Meer specifiek gaat het om Proctorio, dat door veel onderwijsinstellingen wordt gebruikt om fraude tijdens het maken van online tentamens te voorkomen.
Door de lek in de beveiliging van Proctorio konden hackers toegang krijgen tot de online accounts (denk aan socialmedia-accounts, maar ook aan bank apps en crypto wallets) en webcams van studenten. Daarnaast was het mogelijk om te bekijken welke pagina’s studenten middels hun browser bezochten en welke bestanden zij downloadden.
Het lek kwam aan het licht nadat twee ethische hackers op verzoek van RTL Nieuws de surveillancesoftware onderzochten. De onveilige situatie werd op 18 juni van dit jaar aan Proctorio gemeld, waarna het nog een week duurde voordat het probleem was opgelost. De ‘antispieksoftware’ werd toen al maanden door onderwijsinstellingen gebruikt.
“Grove misser”
Manish Jhinkoe-Rai, voorzitter studentenraad van de Universiteit van Amsterdam (UvA), noemt het schokkend dat de laptops van studenten zo gemakkelijk te hacken waren. “Het is een grove misser van de universiteit dat zij in zee is gegaan met een partij die zijn zaken niet op orde heeft,” stelt Jhinkoe-Rai. “Ook zijn we niet goed ingelicht over de risico’s van het gebruik van Proctorio. We mogen blij zijn dat het lek dit keer is gevonden door ethische hackers in plaats van cybercriminelen.” De studentenraad spande al eerder een kort geding aan tegen de UvA over het gebruik van Proctorio, maar ving toen bot bij de rechtbank.
Verwijder software
Inmiddels gebruiken studenten een beter beveiligde versie van Proctorio. Of het lek in de beveiliging daadwerkelijk heeft geleid tot gehackte laptops, is niet bekend. RTL Nieuws laat weten dat Proctorio niet heeft gereageerd op de vraag of het bedrijf kan uitsluiten dat de kwetsbaarheid door criminelen is misbruikt.
Hoewel tentamens de afgelopen periode in groeiende mate weer fysiek plaatsvonden en de feestdagen voor de deur staan, is niet uit te sluiten dat onderwijsinstellingen in het nieuwe jaar door bijvoorbeeld coronamaatregelen weer zullen overstappen op de online surveillancesoftware. Ondanks dat het lek in de beveiliging verholpen is, benadrukken de ethische hackers dat het verstandig om na je tentamen Proctorio gelijk van je laptop te verwijderen.
Proctorio
Een proctoringsprogramma kan middels een webcam en microfoon detecteren of een student tijdens een tentamen bijvoorbeeld boeken gebruikt of dat er andere mensen in de kamer zijn. Ook toetsaanslagen worden gemeten. Merkt de software verdachte opnames en beelden op, dan worden deze naar de Examencommissie gestuurd, die vervolgens moet beoordelen of sprake is van tentamenfraude.
Slechts enkele onderwijsinstellingen besloten het afgelopen collegejaar geen gebruik te maken van dergelijke sofware, zoals de Hogeschool Leiden en Avans Hogeschool. Het zou volgens hen een te grote inbreuk op de privacy van studenten maken.
Eerder deed ook de Autoriteit Persoonsgegevens (AP) al onderzoek naar de online surveillancesoftware.