Az Open Web Application Security Project (OWASP), amely webes kiszolgálók és megoldások biztonságának javításával foglalkozó szervezet, nemrégiben egy rendkívül ironikus közleményt adott ki honlapján. Ebben számolt be arról, hogy saját szerverüket sikerült hackereknek feltörniük egy súlyos incidens során, noha éppen ők nyújtanak tippeket, útmutatókat és oktatóanyagokat a webbiztonság területén.
Az OWASP vesztét egy rosszul konfigurált MediaWiki telepítés okozta, amelyen keresztül behatoltak a támadók. Ez lehetővé tette számukra, hogy több tízezer felhasználó személyes adatait megszerezzék. A projekt honlapján azt javasolják azoknak, akik 2006 és 2014 között OWASP-tagok voltak és az OWASP-hez való csatlakozás során megosztották önéletrajzukat, hogy feltételezzék: az önéletrajzuk is érintett lehet ebben az adatbetörésben.
Az önéletrajzokban nevek, telefonszámok, e-mail címek, és lakcímek is szerepelnek. Lehetséges, hogy egy részük már nem valid, ettől függetlenül ez egy elég kellemetlen incidens az OWASP számára, akik hozzátették: 2014 óta nem kérnek önéletrajzot a jelentkezéshez.
Felmerül a kérdés, hogy nem okoz-e esetleg GDPR szabálysértést? Miért tárolnak 10 évig önéletrajzot?
Az OWASP ennek ellenére azt mondja, hogy az incidens megismétlődésének meggátlása érdekében letiltották a könyvtárböngészést szerveren, és ellenőrizték a webszerver további konfigurációs beállításait is. Ezen kívül eltávolították a kiszolgálóról az összes most ellopott önéletrajzot is – bár utóbbi nyilván az eső után köpönyeg tipikus példája.