Deux frères versés en technologies de l'information ont découvert de graves failles dans le système TIC de la National Student Financial Aid Scheme, exposant potentiellement les détails personnels de millions d'étudiants, y compris leurs comptes bancaires, aux escrocs. Les vulnérabilités permettaient d'accéder à des messages sensibles, des codes PIN uniques et même à des fonctions administratives comme la modification des financements. La NSFAS a depuis corrigé les problèmes les plus critiques après avoir été alertée.
Connor Bettridge, étudiant en informatique au Varsity College à Le Cap, a découvert les problèmes en aidant à une demande de financement NSFAS. Il a accédé à la page de communication du portail et vu les adresses, le genre, les revenus et les détails bancaires des étudiants. Son frère aîné, Jordan Bettridge, qui travaille dans les technologies d'assurance, a approfondi l'enquête.
Jordan a décrit comment le système permettait à quiconque d'accéder à tous les SMS et e-mails envoyés par la NSFAS depuis 2022, y compris les codes PIN uniques et les informations personnelles de entre 500 000 et un million de demandeurs. « Ce n'était pas du tout difficile. On pouvait écrire un script en 20 minutes qui récupère littéralement tous les SMS et e-mails », a-t-il dit. En examinant le code du site web, Jordan a trouvé des points d'extrémité API non sécurisés pour le tableau de bord administrateur, permettant des actions telles que le refus de demandes de financement, la modification de détails bancaires ou le retrait de financements actifs.
Ces failles s'ajoutent aux problèmes TIC persistants de la NSFAS, y compris les arriérés de paiements et les processus manuels qui ont causé des difficultés aux étudiants. En 2024, l'ancien administrateur Freeman Nomvalo a averti un comité parlementaire que les systèmes étaient vulnérables aux cyberattaques, notant les risques pour les informations des étudiants.
Jordan a souligné les conséquences potentielles : les fraudeurs pourraient rediriger les financements vers leurs propres comptes ou vendre les données fuitées sur le dark web. Les frères ont d'abord tenté de contacter directement la NSFAS mais n'ont reçu aucune réponse. Ils ont ensuite contacté MyBroadband, alertant l'équipe média et le PDG par intérim Waseem Carrim, qui a confirmé que les problèmes avaient été résolus.
La NSFAS a publié un communiqué reconnaissant que les utilisateurs connectés pouvaient voir tous les messages générés par le système, y compris les OTP, et que certains points d'extrémité API étaient non sécurisés, permettant des actions administratives comme le retrait d'appels. « La NSFAS a pris connaissance d'une faiblesse de sécurité potentielle et a immédiatement activé ses protocoles de sécurité de l'information et de gestion d'incidents », indique le communiqué. L'agence a renforcé les contrôles d'accès et amélioré la surveillance, mais n'a pas abordé la responsabilité de la configuration du système.
Cet incident fait écho à un cas de 2024 où des étudiants de l'université de Stellenbosch ont exposé des vulnérabilités de fraude dans le système de subventions SASSA, déclenchant une enquête parlementaire.
