Veiligheid
Datalek publieke groepen in SharePoint/Teams
Door een datalek op 21 maart 2023 konden de gegevens van ongeveer 750 publieke groepen in SharePoint (waar ook gegevens van Teams worden opgeslagen) mogelijk worden ingezien. Met behulp van een specifieke zoekcode konden collega’s en studenten van Universiteit Leiden alle openbare groepen vinden en toegang verkrijgen. Het is niet bekend of dit daadwerkelijk is gebeurd. De gegevens in de groepen varieerden van reguliere persoonsgegevens (zoals namen en e-mailadressen) tot gevoelige persoonsgegevens zoals CV's en discussies via chat. Het datalek is in maart gemeld bij de Autoriteit Persoonsgegevens.
Groepen in SharePoint/Teams
Binnen SharePoint en Teams heb je de mogelijkheid om een groep als public of private (publiek of privé) in te stellen. Deze keuze bepaalt of gegevens in de groep kunnen worden gevonden en geopend binnen Universiteit Leiden door andere Teams/Sharepoint gebruikers. Een groot aantal groepen was foutief ingesteld op public.
Oorzaak van het datalek
Het is na intern onderzoek onduidelijk gebleven hoe de inbreuk heeft plaatsgevonden. Sommige groepen zijn mogelijk bewust openbaar toegankelijk gemaakt, maar in andere gevallen is het onduidelijk hoe en waarom de omgevingen openbaar waren. Vanwege deze onduidelijkheid is de melding over het lek vertraagd. Omdat de privacy en de beveiliging van persoonlijke gegevens van het grootste belang zijn, willen we medewerkers en studenten alsnog op de hoogte stellen.
Maatregelen en vervolgstappen
Alle noodzakelijke stappen om de kwetsbaarheid te verhelpen zijn genomen. Na melding van het datalek is er een onderzoek gestart door het CERT-team van het ISSC en het Privacy Office. De zoekcode voor publieke groepen is direct geblokkeerd: ze kunnen niet meer via deze kwetsbaarheid worden geopend.
Maak je een nieuwe groep aan? Wees je er dan van bewust dat door deze public aan te maken alle medewerkers van de universiteit bij de groep kunnen.
Wij betreuren het ongemak wat dit datalek mogelijk heeft veroorzaakt. Wij zijn toegewijd aan de bescherming van de persoonsgegevens van onze medewerkers en studenten en hebben stappen ondernomen om dergelijke incidenten in de toekomst te voorkomen.
Heb je vragen?
Neem contact op met het Privacy Office of de Functionaris Gegevensbescherming bij vragen over dit datalek: privacy@bb.leidenuniv.nl