Hoi,
Op mijn werk ben ik er achter gekomen dat gebruikersnamen en wachtwoorden in clear text in logbestanden op de servers staan. Naast dat dit een gigantische blunder is van de ontwikkelaar, wil ik graag de discussie alleen richten op de GDPR wetgeving.
Deze logbestanden zijn regelmatig naar de ontwikkelaars (een externe partij) gestuurd. Het loggen van gebruikersnaam en wachtwoord komt regelmatig voor, bij een bepaalde actie. Verder zou alleen IT toegang moeten hebben tot de servers waarop de logs staan.
Ik heb dit een paar weken geleden in het systeem deze vinding gemaakt, en gelijk gemeld aan mijn manager en de application owner. Zij hebben besloten de wachtwoorden van de accounts te laten verlopen, zodat iedereen een nieuw wachtwoord moet instellen. De gebruikers zelf zijn niet geinformeerd over wat de echte oorzaak was.
Ik heb hier geen goed gevoel over. De gebruikersnamen zijn combinaties van de voor en achternaam, en veel gebruikers gebruiken een wachtwoord dat ze ook elders kunnen gebruiken. Stom, maar zo zijn gebruikers nu eenmaal. Waarschijnlijk is er niets met de data gebeurd, maar als ik een van de gebruikers was, had ik dit graag geweten.
Moet hier een officiele melding van worden gemaakt, door de Europese wetgeving?
(Edit: zover ik weet, zitten hier geen emailadressen bij)
Op mijn werk ben ik er achter gekomen dat gebruikersnamen en wachtwoorden in clear text in logbestanden op de servers staan. Naast dat dit een gigantische blunder is van de ontwikkelaar, wil ik graag de discussie alleen richten op de GDPR wetgeving.
Deze logbestanden zijn regelmatig naar de ontwikkelaars (een externe partij) gestuurd. Het loggen van gebruikersnaam en wachtwoord komt regelmatig voor, bij een bepaalde actie. Verder zou alleen IT toegang moeten hebben tot de servers waarop de logs staan.
Ik heb dit een paar weken geleden in het systeem deze vinding gemaakt, en gelijk gemeld aan mijn manager en de application owner. Zij hebben besloten de wachtwoorden van de accounts te laten verlopen, zodat iedereen een nieuw wachtwoord moet instellen. De gebruikers zelf zijn niet geinformeerd over wat de echte oorzaak was.
Ik heb hier geen goed gevoel over. De gebruikersnamen zijn combinaties van de voor en achternaam, en veel gebruikers gebruiken een wachtwoord dat ze ook elders kunnen gebruiken. Stom, maar zo zijn gebruikers nu eenmaal. Waarschijnlijk is er niets met de data gebeurd, maar als ik een van de gebruikers was, had ik dit graag geweten.
Moet hier een officiele melding van worden gemaakt, door de Europese wetgeving?
(Edit: zover ik weet, zitten hier geen emailadressen bij)