Website universiteit lekt gegevens van studenten en medewerkers (11/10/31)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)

Organisatie

Universiteit Utrecht.

Betrokkenen

"[...] medewerkers en studenten [...]" (WebWereld, 11/10/31)

Soort (persoons)gegevens

"Volgens de tipgevers van Webwereld waren de persoonsgegevens van tienduizenden studenten en ook universiteitsmedewerkers buit te maken. Dat omvat niet alleen semi-openbare informatie als hun naam, studie en vooropleiding. Ook hun woonadressen, persoonlijke mailadressen, UU-gebruikersnamen en hun wachtwoorden voor de UU-inlog waren toegankelijk. [...] De lekkende privé-informatie is volgens de ontdekkers niet versleuteld opgeslagen. [...] Naast persoonsgegevens levert de SQL-injectie ook informatie op over het ict-beheer van de universiteit. Zo zijn er tabellen zichtbaar over backups, ook van medewerkers, naast tabellen over de groepen, rollen en gebruikers van zogeheten access control lists (ACL's) voor de websitefora." (WebWereld, 11/10/31)

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Omschrijving van het incident

"Het Lektober-slot is een meervoudig lek: websites van de universiteit Utrecht geven via SQL-injecties persoonsgegevens prijs van medewerkers en studenten. [...] De gegevens stonden in een database die via SQL-injectie van buiten af toegankelijk is. De UU-website was - samen met enkele subsites daarvan - kwetsbaar voor deze vorm van hacken." (WebWereld, 11/10/31)

Respons van de organisatie

"De universiteit Utrecht (UU) is over een deel van deze lekken vorige week al ingelicht door eigen scholieren. Dit bevestigt security officer [...] van de UU. Hij bedankt Webwereld voor het melden van de overige lekken en geeft aan dat de betreffende scholieren er ook al voor zijn bedankt. 'Op basis van hun melding zijn we onmiddellijk een onderzoek gestart en hebben we inmiddels al een aantal reparatiewerkzaamheden uitgevoerd.' Controle door Webwereld wijst uit dat de aangemelde url's nu geen informatie meer lekken. [...] Het CERT (computer emergency response team) van de universiteit neemt nu de eigen systemen door op deze kwetsbaarheden. [...] Beveiligingsdirecteur [...] geeft aan dat de impact van de lekken [bedoeld wordt hier de zichtbaarheid van informatie over het ict-beheer van de universiteit] nog wordt onderzocht. 'Ook met deze nieuwe melding ligt onze prioriteit bij het onderzoek naar de impact en zijn onze acties er op gericht om eventuele fouten zo spoedig mogelijk op te lossen.' Op vervolgvragen van Webwereld moet hij nog terugkomen. [Hij] heeft al aangegeven een update te willen geven." (WebWereld, 11/10/31)

Bronnen

Eerste publicatie:
Off-site link, opens in new window WebWereld: Lek29 - UU lekt privédata tienduizenden studenten (11/10/31)

Zie verder:
Off-site link, opens in new window Rejo Zenger: Universiteit Utrecht lekt gegevens studenten (11/10/31)
Off-site link, opens in new window BoF: Datalek - Universiteit Utrecht lekte gegevens tienduizenden studenten (11/11/07)



Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-2011 D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.