18 november 2024

Tussen 13 mei en 18 september 2024 zat er een kwetsbaarheid in Webprint, een van de printmogelijkheden van Universiteit Leiden. Onbevoegden konden via een andere applicatie -de webprint-epg - zonder in te loggen printopdrachten van andere gebruikers bekijken. Hiervoor hadden zij de exacte gebruikersnaam of het studentnummer nodig, die zij vervolgens konden invoeren in een URL van de webprint-epg. Dit kon vanaf het moment dat de opdracht werd aangemaakt tot een uur later. Op 18 september is de kwetsbaarheid, na melding van een collega, ontdekt en is de webprint-epg offline gehaald.

Is er misbruik gemaakt van mijn (print)gegevens?

De afdeling Security Operations van het ISSC van de Universiteit Leiden acht de kans dat er van (print)gegevens misbruik is gemaakt klein, omdat het slechts een uur mogelijk was om toegang te krijgen tot de printapplicatie en onbevoegden daarnaast ook een gebruikersnaam of studentnummer nodig hadden. Deze conclusie trekt de afdeling omdat logbestanden zijn opgevraagd bij de leverancier van Webprint. De logbestanden geven geen aanwijzingen voor misbruik van de kwetsbaarheid. De kwetsbaarheid heeft wel langer bestaan dan dat men de logbestanden kan terugkijken, daarom is niet met 100% zekerheid vast te stellen dat er geen misbruik is gemaakt van de kwetsbaarheid via Webprint.

Hoe kon dit incident plaatsvinden en welke maatregelen zijn er genomen?

De kwetsbaarheid is ontstaan door een verkeerde configuratie, veroorzaakt door een menselijke fout. We betreuren dat dit is gebeurd. De afdeling Security Operations heeft na het ontdekken van de kwetsbaarheid de volgende acties ondernomen:

• Op 18 september is de webprint-epg offline gehaald;
• Logbestanden zijn opgevraagd bij de leverancier en door Security Operations zorgvuldig onderzocht;
• Het ISSC implementeert naar aanleiding van het incident verscherpte procedures wat betreft het testen bij configuratiewijzigingen;
• Universiteit Leiden heeft het incident gemeld bij de Autoriteit Persoonsgegevens;
• Verschillende opties voor een printalternatief zijn overwogen, waarna besloten is Papercut als enig alternatief te gebruiken;
• De webprint omgeving is niet meer beschikbaar  voor printfunctionaliteiten en wordt vervangen door Papercut.

Vanaf nu print je via Papercut

Universiteit Leiden heeft gekozen voor een volledig alternatief voor Webprint, namelijk printen met Papercut. Printen zal voortaan mogelijk zijn via een apparaat naar keuze.

Printsaldo opladen

De webprintomgeving is vanaf nu alleen nog beschikbaar voor het saldo-overzicht. Printen kan dus niet meer, maar het opladen van je saldo blijft werken zoals je gewend ben.

Vragen?

Heb je vragen over het incident? Neem dan contact op met het Privacy Office via privacy@bb.leidenuniv.nl.