Amendă de 120.000 de lire sterline pentru o universitate: o breșă a expus datele a 20.000 de angajați și studenți


Cauza acestei situații se numește "Shadow IT" și este o problemă care a costat o universitate britanică 120.000 de lire sterline (peste 160.000 de dolari) ca urmare a unei încălcări grave a securității.

"Shadow IT" este fenomenul prin care personalul din cadrul organizației dumneavoastră preia sarcini ce trebuie îndeplinite, de fapt, de departamentul IT legitim. Poate, de exemplu, membrii departamentului de marketing ai companiei dvs. sunt frustrați de faptul că echipa de IT nu le poate construi un microsite în timp pentru o campanie - și, astfel, decid să și-l construiască singuri.

Problemele pe care le implică o astfel de decizie sunt cât se poate de evidente pentru oricine a lucrat în domeniul securității IT. Cine se va asigura că microsite-ul construit de departamentul de marketing va fi configurat în mod corespunzător, nu va conține vulnerabilități și că va avea toate patch-urile necesare pentru a lupta cu noile exploit-uri ce continuă să iasă la lumină ...?

Pare că întocmai acesta a fost cazul la Universitatea Greenwich din Londra.

În 2004, Universitatea din Greenwich le-a permis unui student și academician să construiască un microsite personalizat pe un server de web. Microsite-ul a fost conceput pentru a permite delegaților la o conferință de training să-și încărce lucrările online.

Totuși, microsite-ul nu a fost închis sau actualizat cu patch-uri de securitate după încheierea conferinței.

Nouă ani mai târziu, în 2013, microsite-ul a fost compromis pentru prima oară.

Apoi, în 2016, microsite-ul a fost atacat în repetate rânduri de un hacker care s-a folosit de vulnerabilități de tip SQL Injection pentru a obține accesul la un cont cu permisiuni suficiente pentru a încărca exploatările PHP cunoscute.

După cum anunță Biroul Comisarului pentru Informații (ICO) în raportul său oficial, hackerii au putut accesa de curând alte zone ale serverului web, inclusiv baze de date care conțin informații personale (cum ar fi nume, adrese, numere de telefon și adrese de e-mail) ale aproximativ 20 000 de studenți, absolvenți, membri ai personalului, examinatori externi, aplicanți și participanți la eveniment.

Unele dintre persoanele vizate aveau înregistrate, de asemenea, detalii delicate ale problemelor lor legate de sănătatea fizică sau psihică, dificultățile de învățare și evidențele medicale ale personalului.

Datele furate au fost postate de atacator pe Pastebin la scurt timp după aceea, pentru a-și promova atacul, însă se pare că Universitatea a sesizat că a avut loc o încălcare a securității abia pe 8 iunie 2016.

În concluziile sale, ICO a constatat că universitatea nu a reușit să pună în aplicare măsuri tehnice și organizatorice adecvate pentru a se asigura - pe cât posibil - că nu va apărea o breșă de securitate.

Steve Eckersley de la ICO a explicat că Universitatea din Greenwich a primit o amendă de 120 000 de lire sterline din cauza pericolului și pagubelor substanțiale cauzate de breșă:

"În timp ce microsite-ul a fost dezvoltat într-unul dintre departamentele Universității fără știrea acesteia, iar în calitate de operator de date este responsabilă pentru securitatea datelor în întreaga instituție.

Elevii și membrii personalului aveau tot dreptul să aștepte de la universitate ca informațiile lor personale să fie păstrate în siguranță, iar această încălcare gravă a provocat mari bătăi de cap. Natura datelor și numărul persoanelor afectate au fost cele care au determinat valoarea amenzii."

Lăsați aceasta să fie o lecție pentru alte organizații. Fiți foarte atenți la ce face personalul fără știrea dvs. și asigurați-vă că orice proiect IT a beneficiat de o supraveghere adecvată pentru a fi construit în siguranță, întreținut și - după caz ​​- închis în mod responsabil dacă nu mai este necesară continuarea lui.

ICO a afirmat că, dacă Universitatea din Greenwich va plăti amenda până la 15 iunie 2018 și își va retrage dreptul de apel, i se va reduce acesteia pedeapsa cu 20% la 96 000 de lire sterline (130 000 dolari SUA).

Graham Cluley May 29, 2018

Lasa un comentariu