L’Università di Greenwich deve pagare una multa di 120.000 sterline dopo che una falla di sicurezza senza patch ha portato alla fuga di dati personali degli studenti e del personale.
Quasi 20.000 persone sono state colpite dalla “grave violazione”, avvenuta nel 2016 quando gli hacker scoprirono una vulnerabilità in un microsito non protetto costruito nel 2004.
I dati esposti includevano nomi, indirizzi e numeri di telefono, ma anche informazioni sensibili su 3.500 persone che riguardava dettagli sulle circostanze attenuanti dello studente, sulle difficoltà di apprendimento e sulla malattia del personale record.
Mentre il microsito è stato realizzato appositamente per un convegno di formazione presso l’Informatica e La Scuola di Matematica, che all'epoca era devoluta, non fu mai chiusa né messa in sicurezza, e fu la prima compromesso nel 2013.
Gli hacker hanno poi utilizzato la stessa vulnerabilità per accedere al server web, ottenendo l’accesso alle informazioni di 19.500 dipendenti e studenti.
LEGGI SUCCESSIVO: Cos'è il GDPR?
“Sebbene il microsito sia stato sviluppato in uno dei dipartimenti dell’università a sua insaputa, in quanto responsabile del trattamento dei dati è responsabile per la sicurezza dei dati in tutta l’istituzione”, ha affermato Steve Eckersley, capo delle forze dell’ordine presso l’Ufficio del Commissario per le informazioni (ICO).
Vedi correlati
“Gli studenti e i membri del personale avevano il diritto di aspettarsi che le loro informazioni personali fossero conservate in modo sicuro e questa grave violazione avrebbe causato notevoli disagi. La natura dei dati e il numero di persone interessate hanno informato la nostra decisione di imporre questo livello di sanzione”.
La sanzione di 120.000 sterline è la prima che l'autorità di vigilanza sulla protezione dei dati ha inflitto a un'università ai sensi del Data Protection Act del 1998, su una multa massima di 500.000 sterline che può imporre.
Tuttavia, venerdì entreranno in vigore nuove norme UE sulla protezione dei dati che introducono sanzioni più severe. Il Regolamento generale sulla protezione dei dati (GDPR) consentirà alle autorità di regolamentazione di multare le organizzazioni che subiscono violazioni dei dati per un massimo di 20 milioni di euro, ovvero il 4% del loro fatturato annuo.
Alphr ha contattato l'Università di Greenwich. Quando all’epoca abbiamo riferito della violazione, la segretaria dell’università Louise Nadal lo ha definito “un errore grave e senza precedenti” e ha detto che avrebbe condotto un’indagine su quanto accaduto.
“Ciò farà parte di una revisione approfondita, per garantire che ciò non possa accadere di nuovo”, ha aggiunto all’epoca. "L'università si impegna a proteggere i dati riservati e si scusa per questo errore."
Immagine: Duncan Harris/Flickr
