image

Fontys lekt onbedoeld documenten door verkeerde OneDrive-instelling

dinsdag 26 maart 2024, 12:03 door Redactie, 8 reacties

De Fontys Hogeschool heeft door een verkeerde OneDrive-instelling onbedoeld gevoelige bestanden en documenten gelekt, zo meldt Omroep Brabant. De hogeschool maakt gebruik van OneDrive voor het opslaan en uitwisselen van bestanden. Gebruikers kunnen binnen OneDrive aangeven of een bestand of document alleen zichtbaar voor henzelf is, voor specifieke gebruikers of voor de gehele organisatie.

In de OneDrive-omgeving van Fontys blijken allerlei bestanden en documenten met een verkeerde instelling te staan, waardoor die voor de gehele organisatie zichtbaar zijn, terwijl dit niet de bedoeling is. Daardoor hebben alle studenten en medewerkers toegang tot deze bestanden. Het gaat onder andere om tentamens, inloggegevens, gegevens van stageadressen en meer, aldus Omroep Brabant dat door een student werd getipt.

"Het is niet goed dat een medewerker het document op 'public' heeft gezet. Je kunt dit als een datalek bestempelen. We nemen dit op met het betreffende opleiding en de betreffende medewerker", aldus de hogeschool in een reactie. Fontys kijkt nog of het datalek bij de Autoriteit Persoonsgegevens gemeld moet worden.

Reacties (8)
26-03-2024, 12:59 door Anoniem
In OneDrive, M365 is het heel makkelijk om bestanden te delen. Ook heel makkelijk om ze verkeerd te delen of te vergeten toegang te verwijderen (bv. als 1 van de personen een andere functie heeft gekregen). Bij M365 staat gemak voorop. Training van de medewerkers loopt vaak achter. Potentieel risico bij elk bedrijf dat dit soort oplossingen gebruikt. Vroeger moest toegang op de netwerk schijf nog door IT ingeregeld worden, en was het potentieel makkelijker om controle te houden. Nu kan iedereen vertrouwelijke informatie via meerdere kanalen delen (OneDrive, Teams, Viva Engage, Sharepoint, enz.) en omdat het electronisch is ook minder duidelijk hoe de instellingen staan.
26-03-2024, 14:03 door Anoniem
1 van de eerste dingen die ik verwijder na installatie van Windows.
26-03-2024, 14:42 door Anoniem
Door Anoniem: 1 van de eerste dingen die ik verwijder na installatie van Windows.
Stoer.
Echter bij bedrijven (of scholen) wil/mag/moet je dat niet kunnen.
26-03-2024, 15:23 door _R0N_
Door Anoniem: 1 van de eerste dingen die ik verwijder na installatie van Windows.

Nou je bent een held (of zo), wacht maar tot je in de grote mensen wereld komt.
Veel bedrijven maken nou eenmaal gebruik van clouddiensten zoals MS365 of GSuite, wen er maar aan.
26-03-2024, 17:18 door Anoniem
Door Anoniem: In OneDrive, M365 is het heel makkelijk om bestanden te delen. Ook heel makkelijk om ze verkeerd te delen of te vergeten toegang te verwijderen (bv. als 1 van de personen een andere functie heeft gekregen). Bij M365 staat gemak voorop. Training van de medewerkers loopt vaak achter. Potentieel risico bij elk bedrijf dat dit soort oplossingen gebruikt. Vroeger moest toegang op de netwerk schijf nog door IT ingeregeld worden, en was het potentieel makkelijker om controle te houden. Nu kan iedereen vertrouwelijke informatie via meerdere kanalen delen (OneDrive, Teams, Viva Engage, Sharepoint, enz.) en omdat het electronisch is ook minder duidelijk hoe de instellingen staan.
Wat je allemaal meldt is in mijn ogen geen reclame voor die producten. Met je constatering dat bij M365 gemak voorop staat bevestig je dat een benadering die ik denk ik inmiddels al ruim twintig jaar niet meer de juiste vindt nog steeds de boventoon voert. Gemak moet helemaal niet voorop staan in situaties waar dat makkelijk tot ongelukken leidt. Dan moet zorgvuldigheid voorop staan, en dat stimuleer je helaas niet door gemak voorop te zetten, dat werkt juist de nonchalance in de hand die tot ongelukken leidt.
26-03-2024, 17:46 door musiman
Bij Sharepoint Online en Onedrive for Business implementatie moet je EERST de SHARING policy aanpassen. Die staat standaard namelijk helemaal open. Op de default setting mag een gebruiker bijvoorbeeld in Sharepoint Online een document delen m.b.v. een "anonymous" link, dus een linkje dat geen authenticatie nodig heeft. En de default sharing policy is ook nog eens "edit" i.p.v. "view", waardoor een gebruiker door next-next-finish een linkje aan te maken, een anonymous share link maakt met edit rechten...
En dat was nog maar een document. De gebruiker kan ook de gehele document library op die manier sharen, of de hele Sharepoint site!!!

Verder moet Onedrive for Business gezien worden als een persoonlijke homedrive waar je NIET mee gaat samenwerken met anderen. Oftewel, zet de Onedrive policy zodanig dat gebruikers NIET kunnen sharen, ook niet met collega's.
Ja, je kunt samenwerken met bestanden die op Onedrive for Business staan, maar hierdoor creëer je de mogelijkheid dat ze ook (te) persoonlijke zaken sharen, zoals in dit nieuwsartikel staat beschreven.

Ik weet dat Microsoft in de reclames laat zien dat het wél kan, maar doe het niet!!! Sharepoint Online is voor samenwerken. Stel dat een medewerker een gedeeld document op Onedrive zet, zodat hij en zijn collega's dit samen kunnen onderhouden. Na een jaar gaat die medewerker uit dienst. 30 Dagen daarna (dit is de default setting) komen de collega's erachter dat het document er ineens niet meer is... Tja, de Onedrive van de medewerker van wie het account is verwijderd, is na 30 dagen dus óók verwijderd. Op Sharepoint staan alle documenten en blijven ze ook gewoon staan. Daar heb je ook beter versiebeheer dan in Onedrive.
26-03-2024, 20:01 door Anoniem
Door Anoniem: 1 van de eerste dingen die ik verwijder na installatie van Windows.
Dat kan niet in home edition?
27-03-2024, 08:42 door Anoniem
Door Anoniem:
Door Anoniem: 1 van de eerste dingen die ik verwijder na installatie van Windows.
Dat kan niet in home edition?

Op windows 11:

Open powershell met "uitvoeren als Administrator"

Geef het commando: winget uninstall onedrive
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.