UiPath werd het slachtoffer van een beveiligingsincident waarbij persoonsgegevens van klanten op het internet terechtkwamen. Het gaan onder andere om namen en mailadressen, maar geen wachtwoorden.
Persoonsgegevens van verschillende UiPath-klanten zijn op het internet terecht gekomen. Dat zegt de RPA-specialist aan ZDNet. Het gaat specifiek om data met betrekking op gebruikers van UiPath Academy: een platform waarop iedereen kan leren hoe je aan de slag gaat met robotic process automation. De UiPath Academy claimt dat je “de basics van RPA, een overzicht van het UiPath Platform” in enkele uren kan leren, alsook je eerste softwarebot kan bouwen.
Gelekte data
UiPath ontdekte het incident op 1 december en heeft de betrokken personen intussen per mail op de hoogte gebracht. Het gaat specifiek om gebruikers die zich voor 17 maart van dit jaar registreerden. Wie pas na de het uitbarsten van de coronapandemie interesse kreeg in RPA, blijft zo gespaard van het lek.
Het datalek omvat gegevens zoals namen, mailadressen, gebruikersnamen, bedrijfsnamen en landen waar de slachtoffers woonachtig zijn. Wachtwoorden of betaalgegevens bleven gevrijwaard. Volgens UiPath verschenen de data al online op een enkele locatie, al deelt het bedrijf niet waar precies. UiPath benadrukt verder dat het lek enkel gegevens van de UiPath Academy omvat en alle andere diensten gevrijwaard bleven. Er is evenmin een impact op de functionaliteit van de producten.
Reactie UiPath
UiPath communiceerde volgende verklaring als antwoord op onze vraag op een reactie: “Op 1 december 2020 werden we ons bewust van een incident dat geresulteerd heeft in een niet legitieme vrijgave van een bestand waarin beperkte persoonlijke informatie staat over gebruikers van UiPath Academy. Het bestand bevatte volgende details: naam, email adres, gebruikersnaam, bedrijfsnaam, land en UiPath-certificatiedetails. Het bestand bevatte geen betaalinformatie, door de overheid uitgegeven identificatiegegevens of andere gevoelige data. UiPath-wachtwoorden en andere gevoelige accountinformatie ondervinden geen impact.”
“Uit voorzichtigheid en om honderd procent transparantie te garanderen hebben we iedereen die betrokken was bij het incident toch op de hoogte gebracht.” Hierbij maken we zelf nog de kanttekening dat namen en mailadressen in deze context onder persoonsgegevens in de context van de GDPR vallen, en UiPath zo een vermoedelijke verplichting heeft om de getroffen personen in de EU in kennis te stellen. De gelekte data zorgen immers voor een verhoogd beveiligingsrisico voor de slachtoffers, aangezien aanvallers met de gegevens aan de slag kunnen om bijvoorbeeld erg gepersonaliseerde phishingcampagnes op te zetten.
Het statement vervolgt: “Onze topprioriteit is ervoor zorgen dat onze klanten hun interacties met UiPath vertrouwen en het is onze verantwoordelijkheid om hun informatie te beschermen wanneer ze met ons in zee gaan. Zodra we op de hoogte waren van het incident heeft ons beveiligingsteam onmiddellijk de omvang ervan onderzocht. We hebben acties ondernomen die ervoor zorgen dat dit type incident in de toekomst niet meer kan plaatsvinden.”