Ook duizenden UGent-wachtwoorden gelekt

Gisteren plaatste een ethische hacker met de illustere naam "dogberry" een zoekmachine met ruim 1,4 miljard e-mailadressen en wachtwoorden online. Ruim een miljoen Belgen horen erbij, waaronder ook duizenden e-mailadressen van de UGent.

Dogberry noemt zichzelf "een bezorgde consument", en twijfelde initieel nog of hij de zoekmachine online zou zetten. Hij vreesde de wettelijke gevolgen van het online plaatsen. Uiteindelijk besloot hij de e-mailaccounts en de wachtwoorden grotendeels onleesbaar te maken met sterretjes. Wie echter gericht op zoek gaat, vindt al snel heel wat meer gegevens.

Grasduinen

Wie zijn eigen e-mailaccounts controleert op lekken, krijgt al snel de tip om de volledige databank binnen hetzelfde domein na te kijken."Tip: you can also search for @ugent.be." Een lijst met 500 gelekte accounts verschijnt op het scherm, maar de namen gaan slechts tot de letter B. Enkele gerichte zoekopdrachten leveren snel meer succes op. Al gauw vonden we logingegevens van een waslijst aan hooggeplaatste personen binnen de Gentse universiteit, waaronder tientallen professoren, zes decanen, rector Rik Van de Walle, vicerector Mieke Van Herreweghe, directeur van de Dienst Studentenvoorzieningen Marc Bracke en voormalig vicerector Freddy Mortier

Het is dus niet de universiteit zelf die lekte, maar wie zijn of haar UGentadres gebruikte om in te loggen op websites als Linkedin, Uber, Dropbox, Ebay of MyFitnessPal (tu quoque, Rik Van de Walle?) stelde zijn of haar gegevens wel bloot bij de recente lekken van deze websites. Wie daarenboven sinds de lekken het wachtwoord niet meer aanpaste, of voor verschillende accounts hetzelfde wachtwoord gebruikt, loopt nog meer risico.

Het betere giswerk

De Belgische ethische hacker, Inti De Ceukelaire, haalde in De Morgen aan dat zelfs twee letters van het wachtwoord vrijgeven een risicovolle beslissing was van zijn collega dogberry. Makkelijke wachtwoorden zouden immers zonder veel moeite geraden kunnen worden. Wij gingen zelf aan de slag met de gelekte gegevens van hooggeplaatste UGent'ers.

Het wachtwoord van rector Van de Walle begint met 'mr', gevolgd door een reeks sterretjes. Is Van de Walle heimelijk meer feministisch dan je zou denken, en is zijn wachtwoord 'mrdelcloo' een ode aan zijn echtgenote Brenda? Of toch 'mrboombastic'? Decaan van de faculteit Politieke en Sociale Wetenschappen Herwig Reynaert liet zijn wachtwoord dan weer beginnen met de twee eerste letters van zijn voornaam, terwijl het wachtwoord van voormalig vicerector en decaan van de faculteit Letteren en Wijsbegeerte Freddy Mortier, die tevens zelfverklaard vrijmetselaar is, begint met de letters 'ma'. 'masonry69', anyone?

We vonden de gegevens van onder andere rector Rik Van de Walle, vicerector Mieke Van Herreweghe, voormalig vicerector Freddy Mortier, kersvers verkozen decanen Ann Buysse (faculteit Psychologie en Pedagogische Wetenschappen) en Isabel Van Driessche (faculteit Wetenschappen), decanen Patrick De Baets (faculteit Ingenieurswetenschappen en Architectuur), Patrick Van Kenhove (faculteit Economie en Bedrijfswetenschappen), Herwig Reynaert (faculteit Politieke en Sociale Wetenschappen) aftredend decaan van de faculteit Letteren en Wijsbegeerte Marc Boone en directeur Dienst Studentenvoorzieningen Marc Bracke.

Wil je de waterdichtheid van je eigen account of het account van je favoriete professor nakijken? De zoekmachine van dogberry vind je hier.

0
Gemiddeld: 5 (1 stem)

Reacties

Bericht: 
Geachte redactieleden, Blij te lezen dat mijn actueel wachtwoord dan blijkbaar niet te lezen valt. Met vriendelijke groeten, Herwig Reynaert

Bericht: 
Dat zijn toch niet de wachtwoorden van de UGent mailboxen die gelekt zijn.

Bericht: 
"Het is dus niet de universiteit zelf die lekte, maar wie zijn of haar UGentadres gebruikte om in te loggen op websites als Linkedin, Uber, Dropbox, Ebay of MyFitnessPal (tu quoque, Rik Van de Walle?) stelde zijn of haar gegevens wel bloot bij de recente lekken van deze websites. Wie daarenboven sinds de lekken het wachtwoord niet meer aanpaste, of voor verschillende accounts hetzelfde wachtwoord gebruikt, loopt nog meer risico."

Bericht: 
Spijtig dat u daar op die manier over bericht. 1. De betrokken website doet iets compleet illegaals (heeft intussen het zoekgedeelte uitgeschakeld, het wordt iets te heet onder de voeten denk ik) en jullie plukken daar dan met enig vermaak vrolijk uit. 2. In de titel spreken jullie van UGent-wachtwoorden. In het artikel zelf nuanceren jullie dat wel, maar toegegeven, in de hedendaagse journalistiek past jullie werkwijze ;-) De kans dat het werkende UGent-wachtwoorden betreft is heel erg klein (zelfs al zou iemand zijn ww hergebruiken buiten UGent, wat we overal afraden): de gegevens zijn oud en intussen moet elk UGent-wachtwoord minstens 1 maal per jaar gewijzigd worden. Het zijn dus wachtwoorden die opgeslagen zijn op niet UGent-systemen, weliswaar gekoppeld aan een UGent mailadres.

Reactie toevoegen