Britse universiteit krijgt boete van 137.000 euro voor datalek
Voor het eerst heeft een Britse universiteit een boete gekregen voor het overtreden van de Britse databeschermingswetgeving. Het gaat om de Universiteit van Greenwich, dat in het verleden uit verschillende scholen bestond, waaronder de Computing and Mathematics School (CMS).
De CMS beheerde een autonoom systeem dat met het centrale studentmanagementsysteem van de universiteit was verbonden. Academici kregen van de CMS de gelegenheid om op het eigen systeem microsites te ontwikkelen. In 2004 ontwikkelde een student in opdracht van een academicus een microsite om een trainingsconferentie te ondersteunen. De microsite ondersteunde anonieme uploads via een webformulier. Na het evenement werd de uploadfunctionaliteit niet geüpdatet of verwijderd en bleef de site online staan.
In 2013 waren er voor het eerst aanwijzingen dat de microsite was gehackt. Drie jaar later in 2016 wisten meerdere aanvallers via een SQL Injection-aanval op de microsite toegang tot andere databases op de webserver te krijgen. Op de server stonden gegevens van bijna 20.000 mensen, waaronder studenten, personeel en alumni. Het ging om onder andere namen, adresgegevens en telefoonnummers. In het geval van 3500 mensen ging het ook om gevoelige data, zoals informatie over verzachtende omstandigheden, details over leerproblemen en ziekmeldingen van het personeel. Informatie die vervolgens op Pastebin werd geplaatst.
Volgens de Britse privacytoezichthouder ICO had de universiteit geen technische of organisatorische maatregelen genomen om het datalek, voor zover mogelijk, te voorkomen. Zo wist de universiteit niet dat er op de systemen een microsite draaide die kwetsbaar was voor SQL Injection. Ook waren er geen maatregelen genomen om de microsite na het evenement te beveiligen of uit de lucht te halen. Tevens hield de universiteit zich niet bezig met het monitoren van de systemen om kwetsbaarheden te vinden. Daarmee heeft de universiteit de databeschermingswetgeving overtreden en heeft het een boete van omgerekend 137.000 euro gekregen, zo meldt de ICO. De universiteit krijgt een korting van 20 procent als het de boete voor 15 juni dit jaar betaalt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.