Неправильно сконфигурированный сайт SharePoint привел к тому, что файлы, содержащие личную информацию почти 20 000 студентов Университета Тасмании, стали доступны любому человеку с университетским адресом электронной почты.
Университет Тасмании заявил в своем заявлении, что инцидент стал известен 11 августа, но что он только сегодня связался со студентами.
В нем говорилось, что неправильная конфигурация активна — и файлы широко доступны любому, у кого есть utas.gov.au адрес электронной почты — «с 27 февраля по 11 августа» этого года.
“Данные, которые используются для информирования о том, как Университет поддерживает студентов в их учебе, содержали личную информацию 19 900 студентов”, — говорится в сообщении.
“Нет никаких доказательств того, что это нарушение данных было результатом злонамеренной деятельности.
“Параметры безопасности общих файлов были непреднамеренно настроены неправильно, что сделало информацию видимой и доступной для неавторизованных пользователей.”
В часто задаваемом вопросе Университет сказал, что у него есть файлы, хранящиеся на сайте SharePoint в Office 365.
“Файлы, хранящиеся на этом сайте, были сделаны видимыми для людей, когда они вошли в систему Office365 университета”, — говорится в нем.
“Некоторые файлы были сделаны видимыми в результате приложения «Delve» на платформе Office365. Вникать отображение содержимого пользователями на основании прав доступа, и автоматически показывает, какие файлы пользователи.
“Это было результатом неправильной конфигурации. Теперь система настроена правильно.”
В ответ Университет заявил, что отключил Delve и возложил на НЕГО ответственность за создание новых сайтов команд.
«Автоматические оповещения были реализованы для выявления изменений в настройках разрешений для определенных уровней доступа с высоким риском»,-говорится в сообщении.
Университет заявил, что уведомил Управление Австралийского комиссара по информации (OAIC) и создал линию поддержки по телефону 1800 019 897 “для оказания помощи студентам в любых вопросах или проблемах, связанных с их личной информацией.”
Говорят, что эти файлы содержат широкий спектр личной информации, включая полное имя, адреса электронной почты, номера телефонов, дату и страну рождения, студенческие удостоверения, ATARS и другие результаты, а также неструктурированные данные, такие как «комментарии / заметки в связи с продолжающимся зачислением».
Данные не согласуются для каждого студента; «не каждый человек будет иметь доступ к одной и той же личной информации», — заявили в университете.
В нем говорилось, что «неавторизованные студенты и сотрудники были идентифицированы», хотя и не говорилось, сколько именно.
Вице-канцлер профессор Руфус Блэк извинился перед пострадавшими студентами.
«Пожалуйста, будьте уверены, что мы очень серьезно относимся к управлению вашей личной информацией», — сказал он.
«Мы глубоко привержены обеспечению того, чтобы все наши студенты получали поддержку для достижения успеха в учебе.
«Данные, к которым был получен доступ, используются для информирования об инициативах поддержки, осуществляемых Университетом, и для облегчения взаимодействия со студентами с этой целью.»
Блэк сказал, что Университет провел «тщательный анализ того, как эта информация стала доступной, и предпринял немедленные шаги для обеспечения ее безопасности.»
