Oud CMS nekt website Leidse universiteit

De website van de universiteit van Leiden is afgelopen zomer gekraakt. Een hacker kon binnenkomen doordat de instelling nog steeds het verouderde en slecht beveiligde contentmanagementsysteem QCMS gebruikt.

Een hacker wist begin juli 2008 de webserver waarop websites van de universiteit van Leiden draaien, gedeeltelijk over te nemen. Hij kwam binnen via een pagina die gemaakt is in het verouderde contentmanagementsysteem (cms) QCMS. Dat meldt het Leidse universitaire weekblad Mare.

Al in 2006 besloot het college van bestuur om de hele universitaire website in het nieuwere en beter beveiligde systeem Tridion op te zetten. Maar de overgang naar het nieuwe cms verloopt moeizaam, doordat de website van de universiteit sterk decentraal is geregeld. Verschillende departementen, diensten en instituten beheren hun eigen pagina’s. Volgens betrokkenen kost het tijd om de mensen te leren werken met het nieuwe systeem. In 2009 moet de hele universitaire website met Tridion zijn opgezet. Vlak voordat het systeem volledig is doorgevoerd, is het verouderde cms de universiteit dus duur komen te staan.

Beperkte schade

Volgens de betrokken webcoördinator en de informatiseringsgroep van de universiteit is de schade die door de hack is veroorzaakt beperkt gebleven. De gekraakte server zou maar en deel van de universitaire websites hosten. Bovendien zijn veel websites wel ingevoerd met het nieuwe cms. Op de gekraakte server stonden juist veel sites uit het oude cms.

Toch is uit veiligheidsoverwegingen besloten om de QCMS-sites tijdelijk te bevriezen. Wijzigingen in de pagina’s konden alleen worden aangebracht als informatie werd overgezet naar het nieuwe cms. Daardoor hebben bezoekers mogelijk achterhaalde informatie voorgeschoteld gekregen. De website is elf dagen beperkt in de lucht geweest. Maar volgens de betrokkenen waren de belangrijkste pagina’s zoals de wervingssite voor nieuwe studenten binnen twee dagen weer beschikbaar.