NIEUWS

Hogeschool InHolland gehackt: persoonlijke gegevens tienduizenden studenten aangeboden op internetforum

Hackers bieden op een internetforum persoonlijke gegevens van 56.000 studenten van InHolland aan. Deze zijn vorige maand buitgemaakt. De hack past in een snel groeiende trend waarbij organisaties met veel persoonsgegevens het doelwit zijn.

null Beeld Brunopress
Beeld Brunopress

Op een groot internetforum, dat deels is gericht op illegale activiteiten, wordt sinds zondag een groot bestand aangeboden met buitgemaakte gegevens van studenten en medewerkers van Hogeschool InHolland. In totaal gaat het om 56.000 rijen met gegevens van mogelijk 56.000 verschillende personen. Per persoon wisselt het wat er precies wordt aangeboden. Soms is het alleen het mailadres, maar in andere gevallen zitten daar ook het fysieke adres, het telefoonnummer en zelfs het versleutelde wachtwoord bij.

Ook al zijn ze versleuteld, criminelen kunnen met gespecialiseerde kraaksoftware wel degelijk uit de voeten met dat soort gegevens. Eenmaal gekraakt kunnen die wachtwoorden ook op andere sites worden geprobeerd, omdat veel mensen nog altijd voor verschillende sites dezelfde wachtwoorden gebruiken. Geen wonder dus dat criminelen geld over hebben voor dit soort bestanden.

Een woordvoerder van InHolland bevestigt dat het inderdaad om de persoonlijke gegevens van medewerkers en studenten gaat. Deze zijn maandagmiddag ingelicht, evenals de Autoriteit Persoonsgegevens. InHolland onderzoekt nog hoe de gegevens precies zijn buitgemaakt.

Screenshot van het forum waarop de gegevens van InHolland worden aangeboden Beeld de Volkskrant
Screenshot van het forum waarop de gegevens van InHolland worden aangebodenBeeld de Volkskrant

Eerdere incidenten

Vorige maand werd al bekend dat de Universiteit van Amsterdam en de Hogeschool van Amsterdam doelwit waren van een cyberaanval door, volgens de onderwijsinstellingen, ‘professionele hackers’ die uit zijn op financieel gewin. In eerste instantie meldde de UvA en HvA dat er geen persoonlijke gegevens zouden zijn buitgemaakt, later bleek dat wel degelijk te zijn gebeurd.

Net als bij InHolland het geval is, kregen de aanvallers de beschikking over versleutelde wachtwoorden van studenten. De UvA en HvA verplichtten alle medewerkers en studenten daarop hun wachtwoorden te wijzigen. Vanaf 3 maart werken hun oude wachtwoorden niet meer.

Volgens de UvA bestaat er geen verband met de ransomware-aanval op de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO), ook al vorige maand. Deze organisatie werd het slachtoffer van DoppelPaymer, een bekende en vrij agressieve groep criminelen die met gijzelfsoftware organisaties afperst. De criminelen zouden miljoenen euro’s aan losgeld vragen.

Afgelopen vrijdag werd nog bekend dat een scholengemeenschap in Gelderland losgeld heeft betaald na een cyberaanval. Het onderwijs en de examens zouden anders in gevaar zijn gekomen. Hoeveel de school heeft betaald, is niet bekendgemaakt. In 2019 betaalde de Universiteit Maastricht ruim twee ton losgeld na een vergelijkbare gijzelsoftwareaanval.

‘Explosieve toename’

Niet alleen bij onderwijsinstellingen, maar over de gehele linie meet de Autoriteit Persoonsgegevens (AP) een ‘explosieve toename’ van het aantal hacks gericht op het buitmaken van persoonsgegevens. Het aantal van dit soort meldingen steeg in 2020 met 30 procent ten opzichte van een jaar eerder, blijkt uit de ‘Rapportage Datalekken 2020’ van de waakhond.

De autoriteit noemt het ‘verontrustend’ dat persoonsgegevens steeds vaker het doelwit zijn van criminelen omdat burgers veel schade kunnen ondervinden als hun gestolen persoonsgegevens worden gebruikt voor identiteitsfraude of oplichting. Volgens de AP hebben die criminelen vooral organisaties in het vizier die veel persoonsgegevens verwerken, zoals de recente voorbeelden ook laten zien. Hierbij zijn ze voor langere tijd in een netwerk aanwezig: eerst om dat in kaart te brengen en de organisatie te verkennen en daarna om steeds meer bevoegdheden te krijgen. De AP roept organisaties op hun netwerken beter te beveiligen.

Meer over