Nieuws
image

Bibliotheek Universiteit Utrecht sloeg wachtwoorden onversleuteld op

vrijdag 2 augustus 2019, 12:27 door Redactie, 8 reacties

Door een datalek bij de bibliotheek van de Universiteit Utrecht zijn 13.000 mensen getroffen, zo heeft de Universiteit Utrecht bekendgemaakt. Bezoekers van de bibliotheek moesten bij het aanmaken van een account allerlei gegevens opgeven, zoals naam, e-mailadres, telefoonnummer en wachtwoord.

De informatie werd vervolgens onversleuteld opgeslagen. Wachtwoorden konden zo door baliemedewerkers worden bekeken terwijl die het verzoek behandelden, zo meldt RTV Utrecht. Volgens de universiteit zijn er geen aanwijzingen dat universiteitsmedewerkers misbruik van het datalek hebben gemaakt. Het datalek is gemeld bij de Autoriteit Persoonsgegevens en getroffen personen zijn per brief geïnformeerd.

Eerder deze week kwam de Universiteit Utrecht wegens een ander datalek ook al in het nieuws. Gegevens van vierduizend promovendi, waaronder adres en telefoonnummer, waren niet goed beveiligd. De universiteit stapte dit jaar over naar een nieuw systeem. Het oude systeem bleef echter online. Voormalig personeel van de universiteit kon zo nog steeds toegang tot de gegevens hebben. "Wij kunnen niet garanderen dat uitsluitend werknemers toegang hebben gehad tot je gegevens", zo laat de universiteit in een e-mail aangetroffen personen weten. Het systeem is inmiddels offline gehaald en wederom werd de Autoriteit Persoonsgegevens ingelicht, aldus RTV Utrecht.

Reacties (8)
02-08-2019, 19:25 door Anoniem
"Wij kunnen niet garanderen dat uitsluitend werknemers toegang hebben gehad tot je gegevens"

En dan nog worden bij het (onterechte?) "vertrouwen in de collega's" vaak stagiaires en tijdelijke krachten over het hoofd gezien...

Threatmodeling : een mooie skill :)
03-08-2019, 13:09 door Anoniem
Het is niet echt heeeeeel moeilijk om wachtwoorden niet plaintext op te slaan. Waarom staat nergens vermeld dat mensen die met persoonsgegevens omgaan het verboden word om wachtwoorden plaintext op te slaan. We hebben nu een AVG, daarin staat precies geregeld wat wel en niet opgeslagen mag worden. Is het echt zo moeilijk om daarbij ook de kanttekening op te nemen dat wachtwoorden *niet* plaintext in de database mogen komen? Om vervolgens als iemand nog een keer zo in het nieuws komt een extra boete te geven? Ondertussen moeten we het toch wel zat zijn om elke keer weer te horen: "wachtwoorden op straat want x, y of z heeft ze weer eens plaintext opgeslagen, sorry gebruikers 'shit happens'..."
03-08-2019, 19:09 door Anoniem
Door Anoniem: Het is niet echt heeeeeel moeilijk om wachtwoorden niet plaintext op te slaan. Waarom staat nergens vermeld dat mensen die met persoonsgegevens omgaan het verboden word om wachtwoorden plaintext op te slaan. We hebben nu een AVG, daarin staat precies geregeld wat wel en niet opgeslagen mag worden. Is het echt zo moeilijk om daarbij ook de kanttekening op te nemen dat wachtwoorden *niet* plaintext in de database mogen komen? Om vervolgens als iemand nog een keer zo in het nieuws komt een extra boete te geven? Ondertussen moeten we het toch wel zat zijn om elke keer weer te horen: "wachtwoorden op straat want x, y of z heeft ze weer eens plaintext opgeslagen, sorry gebruikers 'shit happens'..."
Dat staat er al in, want gepaste maatregelen zijn vereist en plain text is niet gepast. Omdat de techniek zich sneller ontwikkelt dan de wetgeving is gekozen voor een techniek-agnostische formulering, maar dat plain text niet mag staat er dus al wel degelijk.
03-08-2019, 20:38 door Anoniem
Toch wil ik die jongens danken voor hun inzet bij het maken van dit systeem. Verdorie waarom niet ff wat minder vragen aan de mensen en de sleutels coderen? Nah ik snap het wel.. het moet snel en goedkoop.
04-08-2019, 07:42 door Anoniem
allerlei gegevens opgeven, zoals naam, e-mailadres, telefoonnummer en wachtwoord
en getroffen personen zijn per brief geïnformeerd
Blijkbaar dus ook hun (woon) adres...
04-08-2019, 09:36 door Anoniem
Door Anoniem:
allerlei gegevens opgeven, zoals naam, e-mailadres, telefoonnummer en wachtwoord
en getroffen personen zijn per brief geïnformeerd
Blijkbaar dus ook hun (woon) adres...

Hoeft niet perse. Die kan eventueel elders zijn opgeslagen.
05-08-2019, 09:44 door Anoniem
Het rare van de AVG is dat NAW-gegevens, en ook telefoonnummer(s) als persoonsgegevens worden gezien, terwijl die gegevens jarenlang op elke straathoek hingen... Telefoonboek, iemand?
De AVG schiet door, en de autoriteit is een tandeloze tijger
27-09-2019, 14:52 door Anoniem
Door Anoniem: Het rare van de AVG is dat NAW-gegevens, en ook telefoonnummer(s) als persoonsgegevens worden gezien, terwijl die gegevens jarenlang op elke straathoek hingen... Telefoonboek, iemand?
De AVG schiet door, en de autoriteit is een tandeloze tijger
Of de AVG doorslaat of niet vind ik een op zichzelf staande discussie. Dat we het altijd zo deden is echter geen argument, want als we altijd blijven doen wat we deden... Enfin, je snapt hem hopelijk...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure