image

Datalek Hogeschool van Arnhem en Nijmegen mogelijk groter dan gedacht

dinsdag 5 oktober 2021, 15:24 door Redactie, 3 reacties

Het datalek bij de Hogeschool van Arnhem en Nijmegen (HAN) is mogelijk groter dan gedacht, zo laat de onderwijsinstelling vandaag via de eigen website weten. Begin september meldde de HAN dat het was getroffen door een datalek waarbij persoonsgegevens in handen van een aanvaller waren gekomen.

De aanvaller eiste losgeld van de onderwijsinstelling, anders zou hij de gestolen data publiceren. "Het bedrag van 10.000 euro dat in de media circuleerde is onjuist. Het betreft een veelvoud daarvan. De HAN heet vanaf h et begin geweigerd om op deze afpersing in te gaan. De reden daarvan is dat door te betalen deze vorm van cybercriminaliteit feitelijk in stand wordt gehouden en betalen geen garantie biedt dat de buitgemaakte data niet verder verkocht of gepubliceerd worden", zo laat de onderwijsinstellingen weten.

Op 7 september werd bekend dat de aanvaller de gestolen data op internet had gepubliceerd. Het ging om volledige namen, e-mailadressen, geboortedatums, telefoonnummers en woonadressen, en in enkele duizenden gevallen ook nog om onversleutelde wachtwoorden. Twee dagen later waarschuwde de HAN zo'n 4300 mensen van wie de wachtwoorden waren buitgemaakt.

Webformulier

Vandaag meldt de hogeschool dat het onderzoek naar het datalek vrijwel is afgerond. Uit het onderzoek blijkt dat de aanvaller via een webformulier toegang tot een server van de HAN heeft gekregen. Op deze server stonden ruim 530.000 unieke mailadressen. "Of de hacker daadwerkelijk alle op de server beschikbare data in handen en/of gepubliceerd heeft, is niet bekend. De HAN heeft desondanks besloten om iedereen van wie mogelijk gegevens zijn buitgemaakt te informeren", zo stelt de onderwijsinstelling.

Van de mogelijk buitgemaakte persoonsgegevens gaat het in minstens 95 procent van de gevallen om algemene persoonsgegevens, zoals naam, adres, woonplaats, e-mailadres en telefoonnummer. De gegevens werden ingevuld op online formulieren waarmee onder meer informatie kon worden opgevraagd over opleidingen of waarmee iemand zich kon aanmelden voor een bijeenkomst of evenement. De HAN laat weten dat deze groep mogelijk slachtoffer wordt van phishing en is daarom begonnen met het waarschuwen van deze personen om extra alert te zijn.

Bij ongeveer drie procent van de mogelijk getroffen gegevens is sprake van meer privacygevoelige persoonsgegevens. Daarbij gaat het bijvoorbeeld om BSN-nummers, paspoort- en identiteitskaartnummers, wachtwoorden of persoonlijke informatie van studenten over bijvoorbeeld hun studievertraging. Deze personen zijn inmiddels allemaal ingelicht. Wat betreft de resterende twee procent van de mogelijk getroffen data gaat het onderzoek nog door.

Image

Reacties (3)
05-10-2021, 16:47 door Anoniem
Zolang we er maar bewust van zijn schijnt het goed te zijn.
06-10-2021, 09:12 door Anoniem
Waarom in hemelsnaam anno 2021 nog paspoortnummers opgeslagen hebben die t.b.v. een hardloopwedstrijd in 2015 zijn verzameld? Of BSN's die enkel voor onderzoek in 2012 nodig waren? Duidelijk dat hier veel grotere schade dan nodig is ontstaan doordat niet kritisch naar bewaartermijnen is gekeken (als er überhaupt al naar is gekeken). Dit zou tot onderzoek van de AP moeten leiden.
06-10-2021, 13:32 door Anoniem
RTL heeft (schijnbaar) een screenshot van de mailwisseling geplaatst en daarin werd er 4 bitcoin gevraagd. Stuk meer dan die 10K waar eerst over bericht is
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.