Universiteit VS ontdekt na penetratietest datalek met gegevens 355.000 personen
Een Amerikaanse universiteit heeft na een jaarlijks geplande penetratietest een datalek ontdekt waarbij de gegevens van meer dan 355.000 mensen zijn buitgemaakt. Tijdens de pentest, die begin juni plaatsvond, werd een kwetsbaarheid in één van de websites van de University of Kentucky ontdekt.
Het beveiligingslek werd verholpen en in samenwerking met een forensisch bedrijf vond er een onderzoek plaats. Daaruit bleek dat een aanvaller begin dit jaar de achterliggende database heeft buitgemaakt. Het systeem in kwestie wordt gebruikt voor het beoordelen van studenten die examens doen. In de database stonden de gegevens van 355.000 leerlingen en docenten uit Kentucky.
Het gaat om hun gebruikersnaam, meestal een e-mailadres, en wachtwoord om toegang tot het systeem te krijgen. Vanwege het datalek heeft de universiteit alle wachtwoorden gereset en gedupeerde personen ingelicht. Volgens de universiteit zijn er geen aanwijzingen dat er misbruik van de gestolen data is gemaakt (pdf). De universiteit zegt dat het naar aanleiding van het datalek een extra 1,5 miljoen dollar in cybersecurity zal investeren.
Ook als er bijvoorbeeld salts en hashes worden opgeslagen is het verstandig om wachtwoorden te resetten. En ja, je kan redeneren dat een hash van een wachtwoord het wachtwoord zelf niet meer is, maar ik weet niet of je bij dit soort berichten moet verwachten dat degene van de communicatieafdeling die uiteindelijk de definitieve tekst oplevert daar mathematische preciesie bij toepast.
dan moet je je ook eens verdiepen in hoe de TOTP werkt van MFA. ik ken omgevingen waarin ze MFA afdwingen, maar mensen ook van dezelfde computer waarme inloggen en ze dus hun ww intypen de TOTP token laten genereren in een browser of een oath tooltje. en server side kun je dit soort stupide dingen niet controleren, dus die hele MFA is de oplossing zal ook een illusie gaan worden tegen de tijd dat iedereen al moeilijk hiermee geforceerd is te werken.
Dat was mijn gedachte ook. Het is wel zo dat indien de wachtwoorden in leesbare tekst opgeslagen zouden staan dat dit dan wel in zo'n artikel als dit met grote letters uitgemeten was.
Sterker nog, als ik het originele artikel doorneem dan is er sprake van "The database contained the names and email addresses of students and teachers in Kentucky and in all 50 states and 22 foreign countries, in all more than 355,000 individuals." en wordt er niet gerept over buitgemaakte wachtwoorden!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
