Universiteit Utrecht lekt gegevens studenten

Afbeelding: Former Institute of Anatomy van Hans Dinkelberg | CC BY

De Universiteit Utrecht lekt de gegevens van studenten en medewerkers. De gegevens in de databank zijn toegankelijk via een SQL-injectie.

Webwereld schrijft in het artikel UU lekt privédata tienduizenden studenten:

Dat omvat niet alleen semi-openbare informatie als hun naam, studie en vooropleiding. Ook hun woonadressen, persoonlijke mailadressen, UU-gebruikersnamen en hun wachtwoorden voor de UU-inlog waren toegankelijk. […] De lekkende privé-informatie is volgens de ontdekkers niet versleuteld opgeslagen. De gegevens stonden in een database die via SQL-injectie van buiten af toegankelijk is. […] Naast persoonsgegevens levert de SQL-injectie ook informatie op over het ict-beheer van de universiteit. Zo zijn er tabellen zichtbaar over backups, ook van medewerkers, naast tabellen over de groepen, rollen en gebruikers van zogeheten access control lists ( ACL’s) voor de websitefora.