The Dutch HackInfo

Information about Hacking, Security & Tweaking

1 1 1 1 1 1 1 1 1 1 Rating 0.00 (0 Votes)

De Blackboard- en Sharepoint-tegenhanger voor scholen, Moodle, is lek. Het is kinderlijk eenvoudig om het admin-wachtwoord en dan alle gebruikersdata te stelen.

Moodle is een open source-alternatief voor gesloten systemen als Sharepoint en Blackboard die veel worden gebruikt door scholen als online leeromgeving. In Nederland wordt Moodle onder andere gebruikt door de KLM, ABN-Amro, de EO, de Belastingdienst en het Centraal Bureau voor Statistiek.

In totaal maakten in januari 2009 zo'n 653 Nederlandse scholen en bedrijven gebruik van de software, aldus Moodle-expert Hans de Zwart in een blogpost. In deze software blijkt nu een gapend gat te zitten. Het exploiteren ervan is kinderlijk eenvoudig, zo tipt een lezer van Webwereld die vaak werkt met de software.

Via eigen backup
Een docent kan een backup draaien van de hele Moodle-gebruikersdatabase en die dan openen in Excel. Probleem is dat er in de kolommen de gegevens gebruikersnaam en wachtwoord gewoon te vinden zijn. Dit geldt voor alle gebruikers, inclusief beheerders. De wachtwoorden zijn weliswaar versleuteld, maar met de zwakke MD5-encryptie. Dat is een verouderde vorm van encryptie die makkelijk te kraken is. MD5 is dan ook ongeschikt voor het versleutelen van deze gevoelige data.

Blogger en Moodle-kenner 'Figaro' ontdekte het gat toen hij het developers-forum van Moodle aan het uitpluizen was. "Het is geen geheim dat Moodle de afgelopen jaren te kampen heeft gehad met een aantal zeer serieuze privacyproblemen. Maar geen van de vorige problemen komt ook maar in de buurt van dit Moodle beveiliging/privacy-lek dat ik een paar dagen geleden ontdekte."

Geen patch
Volgens de tipgever heeft het Moodle-ontwikkelteam het lek nog niet gerepareerd. Het is wel mogelijk om de backup-optie via een workaround uit te zetten. "Maar het betekent wel dat als iemand in het verleden een keer een backup heeft gemaakt, en die backup nog heeft, gewoon aan al die gegevens kan komen. En dat is voor de gebruiker gewoon heel slecht."

Ed Botterweg, directeur van de enige Nederlandse Moodle-partner Stoas, wil graag benadrukken dat het gat alleen kan worden misbruikt door kwaadwillende werknemers. "We gaan er toch vanuit dat dit werknemers zijn van serieuze bedrijven die niet hun eigen bedrijf gaan benadelen door de backup te hacken." Desondanks is Stoas, dat Moodle host voor Nederlandse klanten, bezig met het uitschakelen van de backup-mogelijkheid bij alle klanten.

Verder moet iedereen een nieuw wachtwoord aanmaken en worden ook de admin-accounts opnieuw ingesteld. Botterweg benadrukt ook dat "hackers van buitenaf het erg moeilijk" zullen hebben om bij deze informatie te komen. Hij wil graag voorkomen dat er "blinde paniek ontstaat".

Workaround
Stoas plaatst later een uitleg op de site waarin de beste oplossing wordt weergegeven om het gat snel te dichten. Dit is dan voor gebruikers die de open source-software zelf intern draaien. Wanneer er een daadwerkelijke patch komt van Moodle is nog niet bekend.

bron: webwereld.nl

Comments are now closed for this entry


Copyright © 2019. All Rights Reserved.