Hogeschool betaalt hacker niet, honderdduizenden privégegevens op straat

Hogeschool betaalt hacker niet, honderdduizenden privégegevens op straat​

De hogeschool van Arnhem en Nijmegen (HAN) is slachtoffer geworden van een grote hack. Een criminele hacker
vroeg losgeld om persoonlijke gegevens van studenten en medewerkers niet te lekken, maar de hogeschool
weigerde dat te betalen. De hacker heeft de gestolen gegevens nu op internet gezet.

De gestolen gegevens zijn ingezien en geverifieerd door RTL Nieuws. De hacker, die onder de naam 'masterballz'
opereerde, was in gesprek met de HAN en vroeg naar eigen zeggen zo'n 10.000 euro in losgeld om de gegevens
niet verder te verspreiden.
De HAN weigerde dat te betalen. Daarop besloot masterballz de gegevens, die hij buitmaakte via een lekke server
van de HAN, te publiceren. "Ik ga het maar gewoon lekken, nog een prettige dag gewenst", vertelt hij in een
chatgesprek aan RTL Nieuws.
De gestolen gegevens worden verspreid via een populaire downloaddienst. Het is nog niet duidelijk of de gegevens
ook te koop worden aangeboden, of vooralsnog alleen onderling tussen criminelen worden gedeeld.

Honderdduizenden gegevens​

Het gaat om de gegevens van honderdduizenden mensen, waaronder veel (oud-)studenten. Een groot deel daarvan
is afkomstig uit contactformulieren waar studenten vragen over hun opleiding kunnen stellen. Ook gaat het om
mensen die ooit interesse hebben gehad om te studeren bij de HAN, en die via zo'n formulier contact zochten met
de hogeschool. De gegevens dateren soms nog uit 2009.
Het gaat om honderdduizenden volledige namen, e-mailadressen, geboortedatums, telefoonnummers en woonadressen
en in enkele duizenden gevallen ook nog om onversleutelde wachtwoorden. Daarmee zijn de wachtwoorden direct te
misbruiken door kwaadwillenden. De wachtwoorden zijn grotendeels van alumni van de HAN, niet van huidige studenten.

gelektedata-rtl.png

Een voorbeeld van de gestolen data.

'Niet bekend'​

Een woordvoerder van de HAN meldt dat het onderzoek naar de hack nog loopt: "Op dit moment zijn wij nog bezig met
het inventariseren om welke data het precies gaat. Het onderzoek loopt nog en richt zich op welke persoonsgegevens het
betreft en van wie ze precies zijn. Dat doen we heel zorgvuldig en vraagt veel tijd."
De HAN stelt niet op de hoogte te zijn dat de gestolen gegevens daadwerkelijk zijn gepubliceerd. "Het is juist dat de
aanvaller daarmee heeft gedreigd", zo vertelt de woordvoerder. Ook klopt het geëiste geldbedrag van 10.000 euro volgens
de HAN niet. Om welk bedrag het volgens hen dan wel ging, wil de hogeschool niet zeggen.
De gestolen wachtwoorden zijn volgens de HAN 'verouderd'.

'Makkelijk doelwit'​

"De HAN was een makkelijk doelwit", vertelt masterballz. De server zou verschillende grote kwetsbaarheden hebben gehad
waarmee hij gemakkelijk binnen kon dringen. De HAN heeft de digitale inbraak op 1 september opgemerkt en externe
experts ingeschakeld om het lek te dichten en de hack te onderzoeken. "Die zogenaamde experts snappen er niets van want
er staat nog van alles open", stelt de criminele hacker.
De HAN waarschuwt gedupeerden alert te zijn op phishing en spam en staat in contact met de politie. Ook is er melding
gedaan bij de Autoriteit Persoonsgegevens van een datalek. "We vinden het enorm vervelend dat we er niet in geslaagd zijn
om dit incident te voorkomen", zo stelt de hogeschool op zijn website. "We bieden onze excuses aan voor de overlast die je
mogelijk ervaart als gevolg van deze situatie."

Gedupeerden geïnformeerd​

Getroffen personen worden volgens de hogeschool 'zo snel mogelijk' geïnformeerd over dat hun gegevens zijn gestolen en
in de handen zijn gekomen van criminelen.
De HAN heeft dertien locaties: vijf in Arnhem en acht in Nijmegen. Bij de hogeschool studeren meer dan 35.000 studenten
en werken ruim 4000 medewerkers.


Bron:
 
Bovenaan Onderaan