Klachten van het LAKS zijn te onderscheppen

Het LAKS gebruikt een klachtenformulier zonder versleuteling. Met wat programmeerkennis is het mogelijk om als school die klachten in te zien, te onderscheppen, te wijzigen of tegen te houden. Ik wil benadrukken dat ik geen enkele aanleiding heb om te denken dat scholen dit ook echt doen.

Elk jaar ontvangt het LAKS klachten over examens. Ook dit jaar maken veel leerlingen/studenten daar weer gebruik van. De klachten kunnen online ingediend worden via een formulier op http://www.examenklacht.nl. Dit inhoud van dit formulier kan onderschept worden wat ernstige privacyproblemen met zich meebrengt.   Op het moment van schrijven was dit formulier nog niet beveiligd.

Het formulier is niet beveiligd middels https/ssl/tls

De gevaren

Er zullen voldoende leerlingen zijn die hun klachten direct indienen na het examen. Het is daarbij niet onmogelijk dat ze gebruik maken van de internetverbinding van hun school. Het is technisch mogelijk om al het onversleutelde (inter)netverkeer in te zien voor een school. Ze zijn tenslotte de poortwachter naar het internet. Dit is wat een school zou kunnen doen met een onderschepte klacht:

  • De klacht tegenhouden;
  • De klacht wijzigen;
  • Een database aanleggen van leerlingen en hun ingediende klachten;
  • Opzettelijk het netwerkverkeer naar het LAKS vertragen;

Actie

Wat moet er gebeuren? Heel simpel: het LAKS moet ervoor zorgen dat je als scholier alleen via een beveiligde verbinding de klacht kan indienen. U weet wel, dan is dat groene slotje bovenin de browser zichtbaar. Hopelijk zal het LAKS dit snel regelen!

Update 22-05-2017 18:00

De ontwikkelaar van de website heeft gereageerd en aangegeven dat ze er werk van maken.