D9D1E2

Datalekken in Nederland

2012

Websites 13 universiteiten kwetsbaar voor SQL-injectie (12/08/09)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Bronnen]

Organisatie

Radboud Universiteit, Rijksuniversiteit Groningen, TU Delft, Open Universiteit, Universiteit Twente en de universiteiten van Tilburg, Utrecht, Rotterdam, Wageningen, Amsterdam, Eindhoven, Maastricht en Leiden.

Verwerking

Websites.

Betrokkenen

Onbekend.

Soort (persoons)gegevens

"In sommige gevallen waren persoonsgegevens toegankelijk. [...] Een klacht van de scholieren is ook dat bij een aantal universiteiten de wachtwoorden van gebruikers niet versleuteld waren opgeslagen." [Nu.nl, 12/08/09]

Type incident

Inbreuk op de beveiliging en op de vertrouwelijkheid en potentieel de integriteit van de verwerkte gegevens.

Beschrijving van het incident

"Dertien universiteiten blijken kwetsbaar geweest te zijn voor een datalek in de website. [...] Dat ontdekten [twee scholieren]. Tijdens het testen van de websites op kwetsbaarheden troffen de scholieren er tientallen aan. Iedere keer bleek het om eenzelfde type lek te gaan, een SQL-injectie. [...] Via het lek kon een uitvoerbare code op een server gezet worden. Zo kon de aanvaller de regie over de website te krijgen. Dat betekent dat naast volledige toegang tot de data ook de website is aan te passen." [Nu.nl, 12/08/09]

"Overigens is dit niet de eerste keer dat universiteiten last hebben van beveiligingslekken. De universiteit van Utrecht kampte in oktober 2011 ook al met dezelfde soort lekken. Een deel van deze lekken was toen ontdekt door eigen studenten, de overige door webwereld. Via deze lek kon toegang tot persoonsgegevens van studenten en medewerkers worden verkregen. Ook de Radboud Universiteit kent het probleem van beveiligingslekken. In december 2011 bleek er een lek in het computernetwerk van de universiteit te zitten, waardoor medewerkers en studenten die waren ingelogd de salarissen van medewerkers en adresgegevens van medewerkers en studenten konden inzien." [SOLV, 12/08/10]

Respons van de organisatie

"Na melding bij NU.nl zijn het National Cyber Security Center en het responseteam voor universiteiten SurfCERT ingeschakeld. Daarna hebben de universiteiten de tijd gekregen de lekken te dichten." [Nu.nl, 12/08/09]

Bronnen

12/08/09

12/08/10

.