De Hogeschool Utrecht heeft studenten en personeel gewaarschuwd voor een beveiligingslek in SURFfilesender, waardoor onbevoegden toegang tot bestanden van gebruikers konden krijgen. Zowel de Hogeschool als SURF hebben melding van een datalek bij de Autoriteit Persoonsgegevens gedaan. Dat meldt Trajectum Online, het online magazine van de Hogeschool Utrecht.
SURFfilesender is een webapplicatie voor het versturen en ontvangen van bestanden. Tussen 21 november 2023 en 14 oktober 2024 was het mogelijk om toegang te krijgen tot bestanden van andere gebruikers. "Cybercriminelen konden de inloggegevens van een nieuw type opslag van de bestanden van SURFfilesender achterhalen", laat Trajectum Online weten. Verdere technische details worden niet gegeven. Security.NL heeft SURF om meer informatie gevraagd.
SURF is de ict-coöperatie van Nederlandse onderwijs- en onderzoeksinstellingen. Het biedt onderwijsinstellingen SURFfilesender voor het uitwisselen van bestanden. De kwetsbaarheid kwam tijdens een penetratietest aan het licht. Het probleem raakte alleen gebruikers die de optie 'File Encryption' niet hadden ingeschakeld. SURF kan alleen zien of er tot 27 september bestanden zijn gestolen en heeft in die periode niets aangetroffen. Over de overige tien maanden heeft de organisatie geen informatie.
De Hogeschool Utrecht heeft nu meer dan vijfhonderd mensen die bestandsversleuteling niet hadden ingeschakeld, 183 studenten en 327 medewerkers, gewaarschuwd dat hun bestanden gestolen konden worden en ze alert moeten zijn op phishing. Tevens roept de Hogeschool op om personen te informeren waarvan gegevens in de verstuurde documenten waren opgeslagen.
Bestandsversleuteling staat niet standaard ingeschakeld. "De versleuteling en ontsleuteling van een bestand vindt plaats in het geheugen van de browser van de gebruiker. Dat geheugen is beperkt en maximaal 2GB per bestand (een Word-bestand is vrijwel altijd kleiner, maar een kwalitatief hoge foto is bijvoorbeeld groter). Maar via SURFfilesender kun je ook veel grotere bestanden versturen. Door automatisch die versleuteling aan te zetten, zou dat niet meer kunnen", aldus een woordvoerder tegenover Trajectum Online.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.