Voor het eerst heeft een Britse universiteit een boete gekregen voor het overtreden van de Britse databeschermingswetgeving. Het gaat om de Universiteit van Greenwich, dat in het verleden uit verschillende scholen bestond, waaronder de Computing and Mathematics School (CMS).
De CMS beheerde een autonoom systeem dat met het centrale studentmanagementsysteem van de universiteit was verbonden. Academici kregen van de CMS de gelegenheid om op het eigen systeem microsites te ontwikkelen. In 2004 ontwikkelde een student in opdracht van een academicus een microsite om een trainingsconferentie te ondersteunen. De microsite ondersteunde anonieme uploads via een webformulier. Na het evenement werd de uploadfunctionaliteit niet geüpdatet of verwijderd en bleef de site online staan.
In 2013 waren er voor het eerst aanwijzingen dat de microsite was gehackt. Drie jaar later in 2016 wisten meerdere aanvallers via een SQL Injection-aanval op de microsite toegang tot andere databases op de webserver te krijgen. Op de server stonden gegevens van bijna 20.000 mensen, waaronder studenten, personeel en alumni. Het ging om onder andere namen, adresgegevens en telefoonnummers. In het geval van 3500 mensen ging het ook om gevoelige data, zoals informatie over verzachtende omstandigheden, details over leerproblemen en ziekmeldingen van het personeel. Informatie die vervolgens op Pastebin werd geplaatst.
Volgens de Britse privacytoezichthouder ICO had de universiteit geen technische of organisatorische maatregelen genomen om het datalek, voor zover mogelijk, te voorkomen. Zo wist de universiteit niet dat er op de systemen een microsite draaide die kwetsbaar was voor SQL Injection. Ook waren er geen maatregelen genomen om de microsite na het evenement te beveiligen of uit de lucht te halen. Tevens hield de universiteit zich niet bezig met het monitoren van de systemen om kwetsbaarheden te vinden. Daarmee heeft de universiteit de databeschermingswetgeving overtreden en heeft het een boete van omgerekend 137.000 euro gekregen, zo meldt de ICO. De universiteit krijgt een korting van 20 procent als het de boete voor 15 juni dit jaar betaalt.
Deze posting is gelocked. Reageren is niet meer mogelijk.