image

Server Erasmus Universiteit met persoonlijke data gehackt

donderdag 10 november 2016, 17:24 door Redactie, 10 reacties

Aanvallers zijn erin geslaagd om een server van de Erasmus Universiteit Rotterdam te hacken en met malware te besmetten, zo heeft universiteit op de eigen website bekendgemaakt. Mogelijk hebben de aanvallers bij de hack toegang tot persoonlijke informatie gekregen.

Het gaat dan om persoonsgegevens die op de website van de universiteit staan zoals bijvoorbeeld de adresgids van medewerkers en studenten, waaronder namen en emailadressen. Uit eerste onderzoek blijkt dat het in ieder geval gaat om de EUR-adresgids van de medewerkers en de studenten. Daar staan 25.000 namen en e-mailadressen in. Verder zijn mogelijk ook gegevens van webformulieren gestolen.

Het gaat dan om formulieren voor aanmeldingen van cursussen, evenementen, afspraakverzoeken en ziek- en betermeldingen. De universiteit stelt dat studenten ook rekeningnummers in de webformulieren hebben kunnen achterlaten. Wanneer duidelijk is welke gegevens er daadwerkelijk gelekt zijn wordt iedere betrokkene voor zover mogelijk en nodig nader geïnformeerd, aldus de verklaring. Er zijn momenteel echter geen aanwijzingen dat er informatie is misbruikt. Op de getroffen server werd geen wachtwoordinformatie van studenten en medewerkers bewaard.

Malware

Volgens de universiteit was de hack, die afgelopen zondag werd ontdekt, mogelijk via een bestand dat de aanvallers op de website plaatsten, waarmee vervolgens toegang tot de webserver kon worden verkregen. De universiteit zegt dat het na ontdekking van de hack extra veiligheidsmaatregelen heeft genomen en de aanwezige malware van het systeem heeft verwijderd. Ook wordt de website continu gemonitord.

Samen met een externe partij doet de Erasmus Universiteit momenteel onderzoek naar de aard, impact en oorzaak van het incident. Zodra er meer bekend is volgt daarover informatie. Het incident is gemeld bij de Autoriteit Persoonsgegevens. Ook zal er aangifte bij de politie worden gedaan.

Reacties (10)
10-11-2016, 19:19 door swake
Als ik mijn wagen niet afsluit krijg ik van de politie een boete wegens aanleiding geven tot diefstal . Er zou een wet moeten komen dat men wegens nalatigheid data word gestolen ook boetes worden gegeven !!!
10-11-2016, 21:16 door Anoniem
"De universiteit zegt dat het na ontdekking van de hack extra veiligheidsmaatregelen heeft genomen".
Waarom deden ze dit niet vanaf het begin?
10-11-2016, 21:42 door karma4
Door swake: Als ik mijn wagen niet afsluit krijg ik van de politie een boete wegens aanleiding geven tot diefstal . Er zou een wet moeten komen dat men wegens nalatigheid data word gestolen ook boetes worden gegeven !!!
Die bestaat al met als handhaver "de Autoriteit Persoonsgegevens". Zie redactieartikel.

Wat mij niet bevalt is dat er bestand op de website geplaatst is. Dat zou met een strikte inrichting (selinux confinement) met functiescheiding etc niet nodig zijn. Het is gangbare techniek welke beschikbaar is zonder meerkosten. Het probleem zit enkel in de beschikbare kwaliteit en tijd van de uitvoerende mensen.
10-11-2016, 21:47 door Ron625
Ze schrijven steeds: "deze informatie staat niet op de webserver".
Gebruikers gegevens horen ook niet op de webserver te staan, evenals e-mails en het resultaat van een invul-formulier.
11-11-2016, 08:45 door Anoniem
Door swake: Als ik mijn wagen niet afsluit krijg ik van de politie een boete wegens aanleiding geven tot diefstal . Er zou een wet moeten komen dat men wegens nalatigheid data word gestolen ook boetes worden gegeven !!!

komt er ook, de databeschermingswet treed in werking in 2018 en dan kun je beboet worden als je onvoldoende instpanning doet om je gegevens te beschermen.
11-11-2016, 10:11 door Anoniem
Door Anoniem:
Door swake: Als ik mijn wagen niet afsluit krijg ik van de politie een boete wegens aanleiding geven tot diefstal . Er zou een wet moeten komen dat men wegens nalatigheid data word gestolen ook boetes worden gegeven !!!

komt er ook, de databeschermingswet treed in werking in 2018 en dan kun je beboet worden als je onvoldoende instpanning doet om je gegevens te beschermen.

correctie IS er ook.
De Wet bescherming privacy gegevens is in 2016 aangepast met de clausules die een entiteit/organisatie verplicht privay gegevens 'technisch afdoende' te beschermen. Wat technisch afdoende is, hangt af van de aard van de gegevens en het bedrijf. Als voorbeeld; een bedrijf wat met medische proeven werkt, kent een veel hogere mate van benodigde technische complexiteit.Naast de WBP wordt in 2018 de GDPR effectief. Ook daar is het privacy beginsel veel verder uitgewerkt. Right to be forgotten en privacy by design zijn wat voorbeelden (en natuurlijk het verplicht afdoende beschermen van gegevens)

gr
Eminus
11-11-2016, 10:31 door Anoniem
Ik weet vanuit interne bronnen dat intern bij de EUR IT Security de afgelopen jaren niet echt de aandacht heeft gekregen die het zou verdienen. Hopelijk kan dit incident hun helpen om IT Security op de agenda te krijgen bij de hogere heren.
12-11-2016, 00:47 door Anoniem
Door Anoniem: Ik weet vanuit interne bronnen dat intern bij de EUR IT Security de afgelopen jaren niet echt de aandacht heeft gekregen die het zou verdienen. Hopelijk kan dit incident hun helpen om IT Security op de agenda te krijgen bij de hogere heren.

IT Security krijgt zelden of nooit de aandacht die het verdient totdat er een voorval plaatsvind. Iets van Kalf en Dempen van putten.

Apart maar ik kan het mij OOK voorstellen (en dat klinkt gek van een security engineer) De investeringen zijn enorm en de skill set om een goed beveiligingsbeleid effectief te gebruiken is lastig. Ik word dagelijks geconfronteerd met senior management die zich blijft afvragen waarop die virusscanners + malware preventie + firewalls + IDS / IPS + SIEM + forcepoint oplossingen zo duur moeten zijn. Daarnaast moeten er ook nog policies geschreven worden, een goed en degelijk encryptie beleid ("technisch afdoende beveiligd weet je nog?") realiseren van pentesten.. (niet getest = niet gerealiseerd) het ontwikkelen van een secury awareness programma.. etc etc.

Je kan geld nou eenmaal maar één keer uitgeven.. Het enige wat ik hoop is dat mensen langzaam beginnen te beseffen dat er weldegelijk goed over moet worden nagedacht

gr
Eminus
12-11-2016, 10:21 door ph-cofi - Bijgewerkt: 12-11-2016, 10:22
Door Anoniem: Ik word dagelijks geconfronteerd met senior management die zich blijft afvragen waarop die virusscanners + malware preventie + firewalls + IDS / IPS + SIEM + forcepoint oplossingen zo duur moeten zijn.
Ik verwacht dat we dit bij elke onderneming kunnen tegenkomen. Executive boards willen zich niet bezighouden met beperkingen in gedrag en limieten, maar met kansen en mogelijkheden. (Als je bij Fox-IT werkt, dan komt alles wonderwel mooi samen ;)
De directies zijn wel gevoelig voor discontinuiteit, afbreukrisico's en imagoschade. Een beetje ervaring op doen met incidenten, kan wel een hoop momentum geven. In ieder geval bij deze universiteit, daar is een flinke IB bewustwording in gang gezet dit jaar.
13-11-2016, 19:05 door karma4
Emin us ph-cofi thnks zouden we dat niet pro actief kunnen uitdragen. Moeten wachten tot er een kalf verdrinkt motiveert niet.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.