Server Erasmus Universiteit met persoonlijke data gehackt
Aanvallers zijn erin geslaagd om een server van de Erasmus Universiteit Rotterdam te hacken en met malware te besmetten, zo heeft universiteit op de eigen website bekendgemaakt. Mogelijk hebben de aanvallers bij de hack toegang tot persoonlijke informatie gekregen.
Het gaat dan om persoonsgegevens die op de website van de universiteit staan zoals bijvoorbeeld de adresgids van medewerkers en studenten, waaronder namen en emailadressen. Uit eerste onderzoek blijkt dat het in ieder geval gaat om de EUR-adresgids van de medewerkers en de studenten. Daar staan 25.000 namen en e-mailadressen in. Verder zijn mogelijk ook gegevens van webformulieren gestolen.
Het gaat dan om formulieren voor aanmeldingen van cursussen, evenementen, afspraakverzoeken en ziek- en betermeldingen. De universiteit stelt dat studenten ook rekeningnummers in de webformulieren hebben kunnen achterlaten. Wanneer duidelijk is welke gegevens er daadwerkelijk gelekt zijn wordt iedere betrokkene voor zover mogelijk en nodig nader geïnformeerd, aldus de verklaring. Er zijn momenteel echter geen aanwijzingen dat er informatie is misbruikt. Op de getroffen server werd geen wachtwoordinformatie van studenten en medewerkers bewaard.
Malware
Volgens de universiteit was de hack, die afgelopen zondag werd ontdekt, mogelijk via een bestand dat de aanvallers op de website plaatsten, waarmee vervolgens toegang tot de webserver kon worden verkregen. De universiteit zegt dat het na ontdekking van de hack extra veiligheidsmaatregelen heeft genomen en de aanwezige malware van het systeem heeft verwijderd. Ook wordt de website continu gemonitord.
Samen met een externe partij doet de Erasmus Universiteit momenteel onderzoek naar de aard, impact en oorzaak van het incident. Zodra er meer bekend is volgt daarover informatie. Het incident is gemeld bij de Autoriteit Persoonsgegevens. Ook zal er aangifte bij de politie worden gedaan.
Waarom deden ze dit niet vanaf het begin?
Wat mij niet bevalt is dat er bestand op de website geplaatst is. Dat zou met een strikte inrichting (selinux confinement) met functiescheiding etc niet nodig zijn. Het is gangbare techniek welke beschikbaar is zonder meerkosten. Het probleem zit enkel in de beschikbare kwaliteit en tijd van de uitvoerende mensen.
Gebruikers gegevens horen ook niet op de webserver te staan, evenals e-mails en het resultaat van een invul-formulier.
komt er ook, de databeschermingswet treed in werking in 2018 en dan kun je beboet worden als je onvoldoende instpanning doet om je gegevens te beschermen.
komt er ook, de databeschermingswet treed in werking in 2018 en dan kun je beboet worden als je onvoldoende instpanning doet om je gegevens te beschermen.
correctie IS er ook.
De Wet bescherming privacy gegevens is in 2016 aangepast met de clausules die een entiteit/organisatie verplicht privay gegevens 'technisch afdoende' te beschermen. Wat technisch afdoende is, hangt af van de aard van de gegevens en het bedrijf. Als voorbeeld; een bedrijf wat met medische proeven werkt, kent een veel hogere mate van benodigde technische complexiteit.Naast de WBP wordt in 2018 de GDPR effectief. Ook daar is het privacy beginsel veel verder uitgewerkt. Right to be forgotten en privacy by design zijn wat voorbeelden (en natuurlijk het verplicht afdoende beschermen van gegevens)
gr
Eminus
IT Security krijgt zelden of nooit de aandacht die het verdient totdat er een voorval plaatsvind. Iets van Kalf en Dempen van putten.
Apart maar ik kan het mij OOK voorstellen (en dat klinkt gek van een security engineer) De investeringen zijn enorm en de skill set om een goed beveiligingsbeleid effectief te gebruiken is lastig. Ik word dagelijks geconfronteerd met senior management die zich blijft afvragen waarop die virusscanners + malware preventie + firewalls + IDS / IPS + SIEM + forcepoint oplossingen zo duur moeten zijn. Daarnaast moeten er ook nog policies geschreven worden, een goed en degelijk encryptie beleid ("technisch afdoende beveiligd weet je nog?") realiseren van pentesten.. (niet getest = niet gerealiseerd) het ontwikkelen van een secury awareness programma.. etc etc.
Je kan geld nou eenmaal maar één keer uitgeven.. Het enige wat ik hoop is dat mensen langzaam beginnen te beseffen dat er weldegelijk goed over moet worden nagedacht
gr
Eminus
De directies zijn wel gevoelig voor discontinuiteit, afbreukrisico's en imagoschade. Een beetje ervaring op doen met incidenten, kan wel een hoop momentum geven. In ieder geval bij deze universiteit, daar is een flinke IB bewustwording in gang gezet dit jaar.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
