Beoordeling
Organisatie
Betrokkenen
Soort (persoons)gegevens
Type incident
Omschrijving van het incident
Respons van de organisatie
Bronnen
★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)
Universiteit Utrecht.
"[...] medewerkers en studenten [...]" (WebWereld, 11/10/31)
"Volgens de tipgevers van Webwereld waren de persoonsgegevens van tienduizenden studenten en ook universiteitsmedewerkers buit te maken. Dat omvat niet alleen semi-openbare informatie als hun naam, studie en vooropleiding. Ook hun woonadressen, persoonlijke mailadressen, UU-gebruikersnamen en hun wachtwoorden voor de UU-inlog waren toegankelijk. [...] De lekkende privé-informatie is volgens de ontdekkers niet versleuteld opgeslagen. [...] Naast persoonsgegevens levert de SQL-injectie ook informatie op over het ict-beheer van de universiteit. Zo zijn er tabellen zichtbaar over backups, ook van medewerkers, naast tabellen over de groepen, rollen en gebruikers van zogeheten access control lists (ACL's) voor de websitefora." (WebWereld, 11/10/31)
Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.
"Het Lektober-slot is een meervoudig lek: websites van de universiteit Utrecht geven via SQL-injecties persoonsgegevens prijs van medewerkers en studenten. [...] De gegevens stonden in een database die via SQL-injectie van buiten af toegankelijk is. De UU-website was - samen met enkele subsites daarvan - kwetsbaar voor deze vorm van hacken." (WebWereld, 11/10/31)
"De universiteit Utrecht (UU) is over een deel van deze lekken vorige week al ingelicht door eigen scholieren. Dit bevestigt security officer [...] van de UU. Hij bedankt Webwereld voor het melden van de overige lekken en geeft aan dat de betreffende scholieren er ook al voor zijn bedankt. 'Op basis van hun melding zijn we onmiddellijk een onderzoek gestart en hebben we inmiddels al een aantal reparatiewerkzaamheden uitgevoerd.' Controle door Webwereld wijst uit dat de aangemelde url's nu geen informatie meer lekken. [...] Het CERT (computer emergency response team) van de universiteit neemt nu de eigen systemen door op deze kwetsbaarheden. [...] Beveiligingsdirecteur [...] geeft aan dat de impact van de lekken [bedoeld wordt hier de zichtbaarheid van informatie over het ict-beheer van de universiteit] nog wordt onderzocht. 'Ook met deze nieuwe melding ligt onze prioriteit bij het onderzoek naar de impact en zijn onze acties er op gericht om eventuele fouten zo spoedig mogelijk op te lossen.' Op vervolgvragen van Webwereld moet hij nog terugkomen. [Hij] heeft al aangegeven een update te willen geven." (WebWereld, 11/10/31)
Eerste publicatie:
WebWereld: Lek29 - UU lekt privédata tienduizenden studenten (11/10/31)
Zie verder:
Rejo Zenger: Universiteit Utrecht lekt gegevens studenten (11/10/31)
BoF: Datalek - Universiteit Utrecht lekte gegevens tienduizenden studenten (11/11/07)