Datalek: standaardwachtwoord bij migratie naar nieuw systeem
- 27 augustus 2012
Bits of Freedom heeft haar Zwartboek Datalekken uitgebreid. Het account van de beheerder van de elektronische leeromgeving van de Universiteit van Utrecht bleek met een zwak wachtwoord beveiligd te zijn.
Studenten ontdekten vorige week dat een nieuwe versie van het computersysteem Blackboard van de Universiteit van Utrecht onvoldoende was beveiligd. Gebruikers konden met “admin” als de gebruikersnaam en het wachtwoord inloggen en hadden daarmee meteen de rechten van een beheerder. Op die manier was voor iedereen naast de volledige naam en het nummer van studenten, ook alle vakken die elk van de studenten sinds 2006 gevolgd hadden op te vragen.
De nieuwe versie van Blackboard zou het komende studiejaar in gebruik worden genomen. Volgens de universiteit ontstond het probleem na de migratie naar een nieuwe versie. Daarbij zou het wachtwoord van het beheerdersaccount zijn aangepast naar het standaardwachtwoord.
De universiteit dichtte het gat binnen 24 uur na de melding.
Persoonsgegevens worden opgeslagen in steeds meer en steeds grotere databanken, waarvan de beveiliging vaak onvoldoende is. Er is sprake van een datalek op het moment dat iemand onbevoegd toegang tot persoonsgegevens heeft gekregen. Bits of Freedom vindt dat er snel een meldplicht voor datalekken moet komen. Zo’n meldplicht moet betrokkenen in staat te stellen om bij een datalek maatregelen te nemen om verdere schade te voorkomen. Bits of Freedom heeft het ministerie van Veiligheid en Justitie uitgebreid geadviseerd over haar wetsvoorstel voor een meldplicht datalekken. Nu is het ministerie aan zet.