Mogelijk beveiligingslek ontdekt op school - Privacy en beveiliging

zondag 22 augustus 2021 23:24

Acties:

+1 Henk 'm!

Topicstarter

Dag allen,

Ik ben een middelbare scholier in de bovenbouw en heb een mogelijk beveiligingslek ontdekt in de Microsoft Azure cloud van onze school. Ik kan daar namelijk op inloggen, en hoewel vrijwel alles is uitgeschakeld, kan ik wel in de Active Directory.

Ik gebruikte het dit jaar en de voorgaande jaren vooral om te zien hoe mijn stamklas eruit zag, omdat er geen klassenlijsten werden gestuurd.

Maar, ik kan hier dus alle leerlingen van alle vestigingen zien, met de desbetreffende leerlingnummers en emails, en al het personeel en de desbetreffende emails. Ik kan ook groepen zien, en hierbij is vooral interessant dat er groepen zijn zoals alle leerlingen van x vestiging of al het personeel van x vestiging, en ook de emails die daarbij horen. Bijvoorbeeld: alleleerlingen-vestigingx@leerling.schoolnaam.nl.

Ik zou in theorie een spammail kunnen sturen naar alle leerlingen met een redelijk geloofwaardig adres en zeggen dat iedereen de volgende dag vrij is. Leek mij wel een leuke examenstunt.

Maar, is dit echt een lek? Is het de bedoeling dat ik hier bij mag komen? En zo ja, moet ik de school hier over inlichten? Ik vind het namelijk ook wel een leuke examenstunt, kijken wat de opkomst is. Kan ik hier een beloning voor vragen als ik het meld

?

zondag 22 augustus 2021 23:28

Acties:

+3 Henk 'm!

Galinsky

--------->

Via je mailbox/outlook heb je in principe toch ook zicht in alle mailadressen van alle leerlingen en leraren. Met een schraper kan je die ook zo exporteren. Vast ook wel met leerling nummer die vast {aanname} ergens in de extra info staat.

zondag 22 augustus 2021 23:43

Acties:

+13 Henk 'm!

Allard

throwaway1732 schreef op zondag 22 augustus 2021 @ 23:24:
Ik zou in theorie een spammail kunnen sturen naar alle leerlingen met een redelijk geloofwaardig adres en zeggen dat iedereen de volgende dag vrij is. Leek mij wel een leuke examenstunt.

Als examenstunt vind ik 'm niet zo geslaagd. Mijn laatste examenstunt is een tijd geleden maar als ouwe lul vind ik dat zo'n stunt vooral ludiek moet zijn.
Als je per se die adressen wilt spammen, huur dan met een paar man een ijscokar, parkeer deze bij school en nodig iedereen uit om onder lestijd gratis ijs te komen eten

Nodig ook de docenten uit en je hebt goede kans dat zij het ook wel kunnen waarderen.

I think all rightthinking people in this country are sick and tired of being told that ordinary, decent people are fed up in this country with being sick and tired.

zondag 22 augustus 2021 23:49

Acties:

0 Henk 'm!

throwaway1732

Topicstarter

Galinsky schreef op zondag 22 augustus 2021 @ 23:28:
Via je mailbox/outlook heb je in principe toch ook zicht in alle mailadressen van alle leerlingen en leraren. Met een schraper kan je die ook zo exporteren. Vast ook wel met leerling nummer die vast {aanname} ergens in de extra info staat.

Klopt, leerlingnummer is onderdeel van het mailadres zelfs. Maar de mogelijkheid om duizenden leerlingen tegelijk te kunnen mailen zou geen probleem zijn?

zondag 22 augustus 2021 23:55

Acties:

0 Henk 'm!

Galinsky

--------->

throwaway1732 schreef op zondag 22 augustus 2021 @ 23:49:
[...]

Klopt, leerlingnummer is onderdeel van het mailadres zelfs. Maar de mogelijkheid om duizenden leerlingen tegelijk te kunnen mailen zou geen probleem zijn?

Zou je momenteel toch ook via het adresboek kunnen doen in Outlook?

Bij mijn hogeschool, als ik mij goed herinner, kon dit ook.

maandag 23 augustus 2021 00:17

Acties:

+3 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

10% kans dat het de rest van je leven sloopt (straf, strafblad etc.), vakkenvullen en minimumloon t/m 65+ zuigt. 90% kans dat de school hihi zegt en je het over een jaar bent vergeten.

Beter om het probleem aan te geven en hooguit een bedankje te krijgen?

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 23 augustus 2021 00:25

Acties:

0 Henk 'm!

Frostbite

🤦🏻‍♂️

Voor sommige zaken hier wordt er ook wel eens een simple AD user account met de minste rechten gebruikt om zaken op te halen (browsen) uit het AD.
Zolang je geen zaken kan muteren denk ik dat het wel meevalt.Als je wel zaken aan kunt passen dan even de beheerder / IT afdeling inseinen. Wel zo netjes.

maandag 23 augustus 2021 05:53

Acties:

+3 Henk 'm!

SpecialJ

Dit is een standaard setting uit Azure AD, je kan dit melden oplossing is simpel bij Azure AD als Administrator even naar Properties en daar heb je een setting Allow user access to Azure Ad Portal dit schuifje uitzetten en Users kunnen er niet meer bij.

Dit is vrij nieuw en kan sinds een jaar of 2, bijna geen it afdeling die dit weet.

maandag 23 augustus 2021 06:41

Acties:

+1 Henk 'm!

Verwijderd

De tijd dat dit soort hacks werden weggewuifd is wel voorbij. Als de school nu in paniek naar de AP rent en een datalek meldt en weet ik veel, dan gaan ze jou geen bedankje sturen.

maandag 23 augustus 2021 06:54

Acties:

+1 Henk 'm!

CyberMania

Verwijderd schreef op maandag 23 augustus 2021 @ 06:41:
De tijd dat dit soort hacks werden weggewuifd is wel voorbij. Als de school nu in paniek naar de AP rent en een datalek meldt en weet ik veel, dan gaan ze jou geen bedankje sturen.

Dit. Ze gaan zich natuurlijk afvragen waarom je door systemen loopt te pluizen en ze willen weten of je misschien wel meer hebt gedaan dan alleen dat. Grote kans dat het meer gezeik oplevert dan je er mee wint door het te melden. Gewoon mee kappen en niet meer in rond kijken. Het is ook niet jouw taak voor de veiligheid van gegevens te zorgen.

En een mailbom is geen grappige examenstunt.

[ Voor 8% gewijzigd door CyberMania op 23-08-2021 06:55 ]

maandag 23 augustus 2021 07:04

Acties:

+3 Henk 'm!

Vorkie

Maar jij ziet gewoon wat andere gebruikers ook standaard zien?

Alle AD gebruikers hebben READ op alle AD objecten, dat heeft ook diverse redenen.

Dus beveiligingslek wil ik het niet noemen.

maandag 23 augustus 2021 07:31

Acties:

0 Henk 'm!

Kheos

FP ProMod

Dus je kunt alle namen / mailadressen van alle leerlingen zien?
Maar je weet toch wie in jouw klas zit, dus die lijst heb je al. En als je wat leerlingen in andere klassen kent, heb je die lijsten ook. Dus na wat telefoontjes heb je toch ook alle namen en dus email adressen van alle leerlingen van alle klassen?
Ik bedoel maar: voor leerlingen van je school is die info niet zo geheim. Je hebt nu een shortcut gevonden, maar je had het ook op een niet-digitale manier kunnen doen, dus zo erg lijkt mij dat lek dan toch niet te zijn.

maandag 23 augustus 2021 07:45

Acties:

+2 Henk 'm!

Verwijderd

Vorkie schreef op maandag 23 augustus 2021 @ 07:04:
Maar jij ziet gewoon wat andere gebruikers ook standaard zien?

Alle AD gebruikers hebben READ op alle AD objecten, dat heeft ook diverse redenen.

Dus beveiligingslek wil ik het niet noemen.

Hoeft niet. Als de school in de kramp schiet ben je de lul.

maandag 23 augustus 2021 09:06

Acties:

0 Henk 'm!

Pietervs

is er al koffie?

Vraag is eigenlijk: kun je dezelfde gegevens ook inzien/ophalen als je niet bent ingelogd? Want dit klinkt wel behoorlijk als standaard functionaliteit van Azure: je moet de adresboeken uit kunnen lezen om mensen te kunnen mailen.

Of je een mailbom kan sturen is maar de vraag: het kan best zijn dat er een beperking is ingesteld op het aantal mensen dat je tegelijk mag mailen. Zou mij tenminste niet verbazen, want op een school lopen nou eenmaal genoeg grapjassen en scriptkiddies rond.

Zo te zien heeft dit je belangstelling, dus wat let je om eens een mail te sturen naar de IT afdeling en ze te vragen of ze daar wat over kunnen vertellen?

Pvoutput 3.190 Wp Zuid; Marstek Venus 5.12 kWh; HW P1; BMW i4 eDrive40

maandag 23 augustus 2021 09:22

Acties:

+1 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Als je het wilt gaan melden, zoek dan even op de site van de school naar een responsible disclosure beleid. Daar staat uitgelegd hoe je zeker zonder problemen kunt melden.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 23 augustus 2021 09:28

Acties:

+1 Henk 'm!

Robedino

Dit is standaard Azure AD gedrag. Je zou kunnen zeggen dat ze het vinkje "Restrict Access to Azure AD administration portal" uit moeten zetten. Echter, dat is alleen de interface in Azure AD. Via PowerShell of andere tooling kan je alsnog bij de informatie komen. Toegang tot dit soort informatie is vaak nodig voor het functioneren van een organisatie, zoals gezegd in dit topic.

Bij mijn weten is het niet mogelijk om lees-toegang tot objecten helemaal af te sluiten in Azure AD, maar ik laat me graag verrassen.

edit: als dit je interesse heeft en je er een carriere van wil maken adviseer ik je om geen mail-bom te sturen. Dat is behoorlijk suf

[ Voor 12% gewijzigd door Robedino op 23-08-2021 09:30 ]

maandag 23 augustus 2021 09:34

Acties:

+2 Henk 'm!

Superknor

Robedino schreef op maandag 23 augustus 2021 @ 09:28:
Dit is standaard Azure AD gedrag. Je zou kunnen zeggen dat ze het vinkje "Restrict Access to Azure AD administration portal" uit moeten zetten. Echter, dat is alleen de interface in Azure AD. Via PowerShell of andere tooling kan je alsnog bij de informatie komen. Toegang tot dit soort informatie is vaak nodig voor het functioneren van een organisatie, zoals gezegd in dit topic.

Bij mijn weten is het niet mogelijk om lees-toegang tot objecten helemaal af te sluiten in Azure AD, maar ik laat me graag verrassen.

edit: als dit je interesse heeft en je er een carriere van wil maken adviseer ik je om geen mail-bom te sturen. Dat is behoorlijk suf

Je was mij net voor

Afbeeldingslocatie: https://tweakers.net/i/BraFy8rGAOYuPILcgPMWM11vqO4=/800x/filters:strip_exif()/f/image/GISZHPDEL3W0cOvbZWkj0DTa.png?f=fotoalbum_large

maandag 23 augustus 2021 09:35

Acties:

+2 Henk 'm!

_JGC_

Bij de school waar ik vroeger zat hadden we een LDAP server, kon je ook vrij doorzoeken. Bepaalde attributen en objecten waren afgeschermd met ACLs. Manager kon uiteraard alle attributen en objecten zien.

Laat ik het zo zeggen, de dag dat ik een vreemde poort op de LDAP server zag en daarmee verbond met telnet en een shell voor mijn neus kreeg waarna ik een backup van /etc/ldap vond met daarin het manager wachtwoord (die overigens ook werkte op de core router waarmee je vanaf thuis met telnet kon verbinden), had ik wel wat uit te leggen op school. Het was dat we bescherming hadden van het afdelingshoofd, anders waren we gewoon van school getrapt.

Weet niet of scholen nog zo krampachtig zijn als vroeger, in onze tijd was de hoofd systeembeheerder vooral een alfamannetje dat goed kon wapperen met certificaten. In onze tijd had je geen AP waar je lekken kon melden.

maandag 23 augustus 2021 09:36

Acties:

0 Henk 'm!

TMDC

throwaway1732 schreef op zondag 22 augustus 2021 @ 23:24:
Ik kan ook groepen zien, en hierbij is vooral interessant dat er groepen zijn zoals alle leerlingen van x vestiging of al het personeel van x vestiging, en ook de emails die daarbij horen. Bijvoorbeeld: alleleerlingen-vestigingx@leerling.schoolnaam.nl.

Lijkt me niet echt een lek tenzij er groepen tussenstaan zoals bijv. adhders-vestigingx@schoolnaam.nl o.i.d. Maar dat is een heel andere orde van probleem.

maandag 23 augustus 2021 09:37

Acties:

+1 Henk 'm!

SunnieNL

Ik zou het gewoon melden bij de support van IT en bij de IT manager en/of security officer (die kun je vast ook vinden in 't AD), met daarbij de optie om het vinkje te zetten zodat je er via de portal zelf niet meer bij komt.

Vaak staat AD browsen aan, omdat anders de werking van Windows er deels mee op houdt. Als jij het AD niet meer kan lezen, weet Windows ook niet meer welke GPO's er actief moeten zijn op de user accounts, etc. Dat is wel weer allemaal met de hand te zetten, maar dat is echt ontzettend veel werk en wordt vrijwel nooit gedaan.

Die mailgroepen kun je waarschijnlijk ook in de global address list van Outlook vinden. Op het moment dat je die in een mailzet en dan op het plusje klikt, krijg je (na de waarschuwing) ook alle losse mailadressen te zien. Ook allemaal standaard werking

maandag 23 augustus 2021 09:52

Acties:

0 Henk 'm!

M.l.

Ik zou het melden. Ik heb vroeger op school ook dingen gedaan op de computer, die eigenlijk niet mochten. Gewoon om te kijken hoe ver we konden komen en om uiteindelijk de bevindingen te melden.

Je kan beter op de IT-afdeling afstappen voordat ze jou vinden. Ik en mijn maten werden van meer beschuldigd dan onze intenties waren en we hebben er flink gezeik mee gehad. Gelukkig werd alles "intern" opgelost en waren we bovendien minderjarig, anders had ons dat een aantekening kunnen opleveren die ons zou blijven achtervolgen.

Meld maar gewoon snel.

maandag 23 augustus 2021 10:28

Acties:

+1 Henk 'm!

Tsurany

⭐⭐⭐⭐⭐

Je kan het melden maar het is volstrekt irrelevant. Diezelfde informatie is via een email client ook op te halen en is juist publiekelijk beschikbaar zodat je email client goed kan functioneren. Zou jij niet bij deze informatie kunnen dan zou je niemand kunnen mailen als je niet het juiste mail adres uit je hoofd weet.

Je kan zulke mailing lijsten gewoon gebruiken zonder dat je ooit in het AD portal hebt in te hoeven loggen. Dus zo'n e-mail uitsturen valt absoluut niet onder 'hacken'. Echter wanneer je iedereen een mail stuurt dat ze de volgende dag vrij zijn dan kan je wel wat problemen verwachten, doe je iets ludieks zoals @Allard eerder aangaf is het een gegarandeerd succes.

SMA SB5.0 + 16x Jinko 310wp OWO + 10x Jinko 310wp WNW |--|--| Daikin 4MXM68N + 1x FTXA50AW + 3x FTXM20N

maandag 23 augustus 2021 14:02

Acties:

0 Henk 'm!

nst6ldr

Down with Big Tech.

Active Directory is standaard zo ingericht, met ADUC kan je ook veel properties lezen, dat is nodig voor clientside applicaties om te snappen welke andere gebruikers er bestaan binnen het domein. Zolang je geen attributen kan wijzigen is er niks aan de hand.

Wat hier overigens wél een probleem van is, is dat je kan ontdekken wat de admin accounts zijn en ze met Powershell buiten sluiten uit het domein. Met een beetje auditing heb je overigens zo achterhaald wie dat heeft gedaan, je zal namelijk gewoon een bind moeten hebben en daar heb je als het goed is maar één account voor: je eigen.

Zeker in het kader van berichtgevingen de afgelopen jaren zou ik een examenstunt niet vanuit optiek cybersec willen uitvoeren, dat is echt vragen om problemen. De perspectieven daarop willen namelijk nog wel eens verschillen. Jij ziet een onschuldige grap, de beheerafdeling ziet extra (over)werk omdat ze moeten voorkomen dat het weer voorkomt, zich verdedigen tegen het management, enzovoort.

Hoe Android ten einde kwam - Ben je wel kritisch?

maandag 23 augustus 2021 14:53

Acties:

+1 Henk 'm!

Seth_Chaos

throwaway1732 schreef op zondag 22 augustus 2021 @ 23:24:
Dag allen,

Ik ben een middelbare scholier in de bovenbouw en heb een mogelijk beveiligingslek ontdekt in de Microsoft Azure cloud van onze school. Ik kan daar namelijk op inloggen, en hoewel vrijwel alles is uitgeschakeld, kan ik wel in de Active Directory.

Ik gebruikte het dit jaar en de voorgaande jaren vooral om te zien hoe mijn stamklas eruit zag, omdat er geen klassenlijsten werden gestuurd.

Maar, ik kan hier dus alle leerlingen van alle vestigingen zien, met de desbetreffende leerlingnummers en emails, en al het personeel en de desbetreffende emails. Ik kan ook groepen zien, en hierbij is vooral interessant dat er groepen zijn zoals alle leerlingen van x vestiging of al het personeel van x vestiging, en ook de emails die daarbij horen. Bijvoorbeeld: alleleerlingen-vestigingx@leerling.schoolnaam.nl.

Ik zou in theorie een spammail kunnen sturen naar alle leerlingen met een redelijk geloofwaardig adres en zeggen dat iedereen de volgende dag vrij is. Leek mij wel een leuke examenstunt.

Maar, is dit echt een lek? Is het de bedoeling dat ik hier bij mag komen? En zo ja, moet ik de school hier over inlichten? Ik vind het namelijk ook wel een leuke examenstunt, kijken wat de opkomst is. Kan ik hier een beloning voor vragen als ik het meld ?

Melden! Niet mee gaan klooien. Tenzij je een strafblad wil, en het risico dat je voor je examen van school gestuurd wordt. Ik heb dit bij menig scholengemeenschap zien gebeuren. En het liep nooit goed af voor de leerling die dacht een leuk geintje uit te halen.

[ Voor 4% gewijzigd door Seth_Chaos op 23-08-2021 14:55 ]

maandag 23 augustus 2021 19:59

Acties:

0 Henk 'm!

RobbyTown

Godlike

Geen idee als dat maatwerk is maar intern op het werk moeten sysadmin of bepaalde mensen goedkeuring (1 van de 5 ofzo) doen wil die grote groep mail krijgen (werden beetje gek van iedereen voor elke scheet dat maar gebruikte).

Van buiten af werkt dat groep mailadres niet.

Kunt is vragen/melden aan ze als ook het zo hebben gedaan

.

Enige wat nog kan (en dat is overal). Export maken van alle email adressen en dan fake mail sturen. Daar valt weinig tegen te doen.

[ Voor 7% gewijzigd door RobbyTown op 23-08-2021 20:00 ]

Blog - Glasnet status (privé log) - Nette LAN - RIPE Atlas Probe

maandag 23 augustus 2021 20:16

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Ik zou er geen gekkigheid mee uithalen dat gaan ze niet waarderen. Als iemand denkt dat wat je doet een datalek is dan wordt het snel vervelend omdat ze het dan moeten gaan melden (of het echt een datalek is doet er niet eens toe).

Ik denk dat er best een argument valt te maken dat zo'n openstaand adresboek een datalek is, zeker als het makkelijk is om informatie van een hoop mensen tegelijk op te halen is. Hoe hard is het nodig dat iedereen elkaars mail-adres kent? Hoe vaak mailt iemand uit 5-VWO met een leerling uit de brugklas? Lijkt mij niet echt noodzakelijke functionaliteit. Maar ik durf niet te zeggen waar de grens ligt tussen "noodzakelijk" en "te veel".
Vrijwel iedere school heeft tegenwoordig een Functionaris Gegevensbescherming. De nette aanpak is om die een mailtje te sturen en het daar dan bij te laten.

This post is warranted for the full amount you paid me for it.