Poucos dias antes da entrada em vigor do GDPR, a Universidade de Greenwich estava com problemas. O Information Commissioner's Office (o escritório do Information Commissioner é uma agência de aplicação da lei independente do Reino Unido) multou a universidade em £ 120 mil (no momento da redação deste documento, isto é cerca de 136 mil euros, 160 mil dólares americanos, 10 milhões de dólares russos) rublos, 4,2 milhões de hryvnias ucranianos) por uma séria vulnerabilidade de segurança que levou ao vazamento de dados de quase 20 mil estudantes e funcionários. Como uma universidade tão séria conseguiu entrar na OIC e se tornar a primeira multada por violar o DPA, e o que ela nos ensina a ler sob o corte.
Tudo começou em 2004. Em seguida, a universidade realizou uma conferência acadêmica na Escola de Computação e Matemática (escola de computação e matemática), na qual um dos alunos criou um microsite. Uma de suas funções era o carregamento anônimo de documentos. A conferência terminou e eles simplesmente se esqueceram do servidor. Ninguém o desativou, formatou ou atualizou. Ele simplesmente se escondeu no canto por muitos anos (invejamos os orçamentos da universidade que nos esquecem dos servidores e da energia que consomem).
Por fim, em 2013, ou seja, 9 (!) Anos depois, o primeiro cracker chegou ao servidor e usou com sucesso a função de download anônimo para comprometer o microsite. E ninguém percebeu isso com sucesso. O que é bastante previsível - como podemos ver hackers no servidor se eles não prestam atenção no servidor há 9 anos?
Várias vezes, os hackers entraram na rede da universidade em 2016 usando vulnerabilidades SQL e PHP que não eram atualizadas há 12 anos. E, novamente, isso não foi percebido imediatamente. Eles só aprenderam sobre hackers e despejos de dados quando um dos hackers os publicou inteiramente no Pastebin.
E eles vazaram muito. As informações pessoais de aproximadamente 19.500 estudantes, graduados e funcionários da universidade, incluindo nomes, endereços e telefones, foram disponibilizadas ao público. Além de dados mais sensíveis de 3.500 pessoas, incluindo não apenas justificativa para o absenteísmo, mas também dados sobre dificuldades com treinamento, doenças, etc.
A universidade reconheceu seu erro e realizou uma “limpeza geral” para aumentar significativamente a segurança de seus recursos internos.
O que isso nos ensina?
A situação acabou sendo curiosa, mas muito instrutiva. E lições podem ser aprendidas de diferentes ângulos.
Em termos de RGPD
Dado que a decisão foi tomada apenas alguns dias antes da entrada em vigor do RGPD, muitos consideram a situação, inclusive da perspectiva desta diretiva. Nesse caso, a universidade é considerada como controladora de dados pessoais e, consequentemente, é responsável por garantir sua segurança. Mesmo apesar do site ter sido criado há muito tempo, em um dos departamentos da universidade e, aparentemente, sem o conhecimento do departamento de TI.
O valor da multa poderia ter sido maior se a situação tivesse ocorrido após a entrada em vigor do novo regulamento. Se, de acordo com as regras antigas, uma OIC puder aplicar multas de até 500 mil libras (cerca de 560 mil euros), o GDPR implica multas de até 20 milhões de euros ou 4% do faturamento global anual (uma opção maior).
Da perspectiva de grandes organizações
Quanto maior a estrutura, mais difícil é manter registros. Especialmente se a estrutura tiver unidades suficientemente autônomas, como faculdades ou escritórios / produção remotos. Mas este não é um motivo para esquecer.
Os departamentos de TI responsáveis devem atualizar novamente na memória algumas regras simples que ajudariam a evitar essa situação:
- Atualize regularmente. De fato, a regra é óbvia, foi até embaraçoso escrever. Mas, sob muitos aspectos, foi sua não conformidade que levou às conseqüências descritas acima.
- Retire o lixo na hora certa. Com que frequência criamos alguns sites temporários, arquivos, pastas abertas, contas com senhas primitivas para executar tarefas únicas de curto prazo? Eu acho que muitas pessoas fazem isso às vezes. Às vezes, porém, esquecemos de excluí-los imediatamente após a conclusão da tarefa e, assim, abrir uma certa falha de segurança. Quem sabe em quanto tempo alguém encontrará seu test.php com acesso direto ao banco de dados?
Se pelo menos alguém que este artigo incentiva a auditar seus recursos, especialmente aqueles que serviram aos seus, então meu dia não foi desperdiçado.
Para referência
O Information Commissioner's Office é uma organização britânica criada para proteger e defender os direitos de informação de interesse público. Possui diversas obrigações sob a Lei de Proteção de Dados de 1998, a Lei de Liberdade de Informação de 2000, Regulamentos de Informações Ambientais de 2004 e Regulamentos de Privacidade e Comunicações Eletrônicas de 2003 (Regulamento privacidade e comunicações eletrônicas).
Entre as tarefas do escritório, está o ajuste do comportamento de organizações e pessoas que coletam, processam e usam dados pessoais. À sua disposição, existe um amplo arsenal de mecanismos de influência, desde auditoria a multas e processo criminal. Alguns casos de sua prática podem surpreender ou até invejar.
- Costelloe e Kelly Limited foram multadas em £ 19.000 pelo envio de mais de 260.000 mensagens de spam anunciando pacotes funerários.
- O Royal Postal Service foi multado em £ 12.000 por enviar spam a usuários não inscritos.
- O Real Ministério Público foi multado em 325.000 libras esterlinas pela perda de DVDs de interrogatório policial não criptografados relacionados aos casos de 15 vítimas de abuso sexual infantil. E este foi o segundo caso de perda de dados pelo Ministério Público. Não apenas em nossos países uma bagunça ...
- O ex-consultor de emprego terminou com mais de mil libras por descarregar dados do banco de dados do empregador. E quem dentre vocês mesclou repositórios ou bases de clientes antes de deixar a empresa? ;)
- A comunidade bíblica pagou cem mil libras pela vulnerabilidade, devido à qual foram coletadas informações cerca de 417 mil pessoas que apóiam a organização. Incluindo informações sobre cartões bancários e contas de pessoas que doaram.
- Um funcionário do departamento de educação do governo local foi multado em £ 1.500 pelo envio de informações pessoais aos alunos e seus pais via Snapchat. E afinal eu não planejei nada ruim. Um pai morando separadamente queria obter algumas informações sobre seu filho. Mas desde a câmera do telefone não sabe como remover apenas uma linha do tablet; os pais receberam dados pessoais de 37 alunos e seus pais, incluindo nomes, endereços, datas de nascimento e números de previdência social. E, a propósito, ela não trabalha mais lá.
Só podemos esperar que uma atitude civilizada e respeitosa em relação aos dados chegue às nossas terras mais cedo ou mais tarde.
Obrigado por ficar conosco. Você gosta dos nossos artigos? Deseja ver materiais mais interessantes? Ajude-nos fazendo um pedido ou recomendando a seus amigos, um
desconto de 30% para os usuários da Habr em um análogo exclusivo de servidores básicos que inventamos para você: Toda a verdade sobre o VPS (KVM) E5-2650 v4 (6 núcleos) 10GB DDR4 240GB SSD 1Gbps da US $ 20 ou como dividir o servidor? (as opções estão disponíveis com RAID1 e RAID10, até 24 núcleos e até 40GB DDR4).
Dell R730xd 2 vezes mais barato? Somente nós temos
2 TVs Intel Dodeca-Core Xeon E5-2650v4 128GB DDR4 6x480GB SSD 1Gbps 100 a partir de US $ 249 na Holanda e nos EUA! Leia sobre
Como criar um prédio de infraestrutura. classe usando servidores Dell R730xd E5-2650 v4 custando 9.000 euros por um centavo?