Schoolsysteem Magister jarenlang onvoldoende beveiligd

Het administratieprogramma Magister, uitgegeven door Iddink, wordt door meer dan 500 Nederlandse scholen gebruikt. In het schoolsysteem staan dossiers die gegevens van leerlingen bevatten, zoals NAW-gegevens en schoolresultaten. Wanneer een leerlingdossier wordt gewijzigd, bijvoorbeeld vanwege een nieuw cijfer of een nieuwe opmerking, verzendt het systeem een e-mail om over de update te informeren. De inhoud van deze e-mail blijkt jarenlang niet te zijn versleuteld.

Beveiligingsonderzoeker Bram Matthys, ontdekker van het lek, heeft sinds 2016 herhaaldelijk bij Iddink aan de bel getrokken om de uitgever op het beveiligingslek te attenderen. Begin augustus 2018 is het lek uiteindelijk gedicht. Omdat het onderscheppen van de e-mails de nodige handelingen vereist, heeft de oplossing lang op zich laten wachten; volgens Matthys zag Iddink geen groot risico in het lek. “Om de mails te onderscheppen moet men zich in het netwerkpad tussen de mailserver van de softwaremaker en die van de school bevinden. Daarvoor moet iemand dus wel moeite doen, zoals een router hacken of een apparaatje op de lijn plaatsen.” Desondanks is Matthys van mening dat het om een groot risico gaat en eerder actie had moeten worden nomen, ook omdat het gevoelige gegevens van kinderen betreft. “Malware, zoals VPNFilter, infecteerde eerder bijvoorbeeld een half miljoen routers wereldwijd. Deze malware had ook code om netwerkverkeer mee te onderscheppen.”

Pieter Dubois, woordvoerder van Iddink, heeft in een reactie aan Nu.nl erkend dat de communicatie naar Matthys toe onder de maat is geweest: “Bram Matthys heeft zijn bevindingen meermaals met ons gedeeld en wij zijn daarover niet goed met hem in contact getreden en gebleven. Wij hebben hem daarvoor onze excuses aangeboden.” Volgens de woordvoerder zijn in de tussenliggende periode geen signalen van onrechtmatige toegang zijn ontvangen tot het e-mailverkeer van Magister vanuit een of meerdere scholen.