ORCID Incydent bezpieczeństwa
Wczoraj (18 lutego) mieliśmy do czynienia z incydentem bezpieczeństwa dotyczącym interfejsu sieciowego programu ORCID Rejestr, który dotknął 46,823 2.5 użytkowników (~XNUMX% z ORCID dokumentacja). ORCID ujawniono informacje o rekordach oznaczone jako prywatne, w szczególności adresy e-mail. Żadne hasła nie zostały ujawnione. Prace, finansowanie i dane dotyczące przynależności nie zostały naruszone, podobnie jak ORCID Interfejsy API, które łączą Rejestr z zewnętrznymi bazami danych. Nie mamy powodu, by sądzić, że doszło do nadużycia danych.
Ekspozycja została ograniczona do publicznego wglądu online ORCID rekordy, do których uzyskano dostęp w ramach czasowych incydentu (21:07 (UTC) 2016-02-17 do 13:35 (UTC) 2016-02-18). Skontaktowaliśmy się ze wszystkimi użytkownikami, których to bezpośrednio dotyczyło, i utworzyliśmy specjalny adres e-mail, aby odpowiedzieć na pytania i wątpliwości.
Jako organizacja zbudowana wokół zasad otwartości i kontroli badaczy, traktujemy ten incydent bardzo poważnie. Rozwiązaliśmy natychmiastowy problem, którego przyczyną była aktualizacja oprogramowania w witrynie. Dokonujemy przeglądu wewnętrznych procesów, które doprowadziły do incydentu i wprowadzamy dodatkowe procedury, aby upewnić się, że sytuacja się nie powtórzy. Ponadto w przyszłym tygodniu opublikujemy naszą Politykę bezpieczeństwa danych do publicznego wglądu.
Proszę zaakceptować nasze przeprosiny. Nie wahaj się skontaktować ze mną pod adresem Laura@orcid. Org jeśli masz jakiekolwiek obawy, i natychmiast daj nam znać, jeśli dowiesz się o jakichkolwiek konkretnych problemach w wyniku tego incydentu bezpieczeństwa.