Gegevens duizenden studenten TU Eindhoven gelekt bij hack
De adresgegevens van duizenden studenten van de TU Eindhoven liggen op straat na de hack bij het IT-bedrijf ID-Ware. Ook medewerkers van de universiteit en van bedrijven op de campus zijn gedupeerd. In totaal zijn er zeker 21.000 slachtoffers van de hack. Ook de gegevens van een nog onbekend aantal medewerkers van de Hogeschool Utrecht zouden zijn buitgemaakt.
Criminele hackers hebben de bestanden buitgemaakt bij de ransomware-aanval op ID-ware, het bedrijf dat ook het toegangssysteem levert aan onder meer de Eerste en Tweede Kamer. Dat bedrijf levert ook een pasjessysteem aan de TU Eindhoven.
Gevoelige gegevens
Diezelfde hackers hebben ook de gegevens van 21.000 pashouders van de TU Eindhoven in handen kunnen krijgen, bevestigt de universiteit aan RTL Z.
De bestanden met daarin de volledige namen, privé-mailadressen, woonadressen, geboorteplaatsen, studentennummers en pasnummers zijn door de hackers gepubliceerd op het dark web, het verborgen deel van het internet.
Schade Utrecht nog onbekend
Naast de data van de TU Eindhoven hebben de hackers ook gegevens van medewerkers van de Hogeschool Utrecht in handen gekregen. Om hoeveel mensen en om welke gegevens het gaat kon de Hogeschool Utrecht nog niet zeggen.
Het gaat in ieder geval om naam, adresgegevens en personeelsnummers van een nog onbekend aantal medewerkers. Of ook de gegevens van studenten zijn buitgemaakt is onduidelijk. De collegekaarten staan in ieder geval niet in het systeem waar de hackers bij konden, zegt een woordvoerder van de onderwijsinstelling. De komende dagen moet verder onderzoek uitwijzen welke en hoeveel gegevens zijn buitgemaakt.
Beide onderwijsinstellingen hebben het lek gemeld bij Autoriteit Persoonsgegevens.
Eerst 1800 passen, later 21.000
In het geval van de TU Eindhoven dacht ID-ware in eerste instantie dat het om 1800 passen ging, maar op 14 oktober meldde het bedrijf aan de universiteit dat er toch meer data in handen van de criminelen zijn beland. Het gaat nu om de gegevens van 21.000 pashouders. Alle getroffenen hebben een mail gehad van de TU Eindhoven.
Een woordvoerder van de universiteit laat weten dat er geen direct misbruik gemaakt kan worden gemaakt van de gegevens. Kwaadwillenden kunnen volgens hem geen toegang krijgen tot data of gebouwen van de TU Eindhoven.
Maar het gevaar bestaat wel dat de hackers de buitgemaakte gegevens gebruiken om phishingmails te versturen, waarin ze zich voordoen als een andere organisatie. Daar waarschuwt de universiteit dan ook voor.
Slachtoffers moeten oppassen voor phishing
Die waarschuwing is terecht, zegt Dave Maasland van ESET Nederland. "Als je een mail ontvangt uit naam van de school of andere instantie, waarin ze je pasnummer en andere gegevens kunnen noemen, ben je eerder geneigd op een link te klikken. Dat kan ook gebeuren bijvoorbeeld uit naam van je bank. Maar in werkelijkheid heb je dan contact met criminelen die zich voordoen als zo'n instantie."
Zeker als het gaat om zo veel gegevens, is de kans op geautomatiseerd misbruik groot. "Het gaat om het combineren van gegevens. Hoe meer je hebt, hoe betrouwbaarder een oplichtingsmail eruit ziet", zegt Maasland.
Zoektocht
De TU Eindhoven kan niet garanderen dat er niet nog meer datasets in handen van criminelen zijn beland. "Er is nog steeds een zoektocht gaande op het dark web", zegt de woordvoerder.
Zaterdag bleek al dat de foto's van medewerkers op de High Tech Campus waarschijnlijk op het dark web waren beland, zonder andere gegevens.
ID-ware reageerde niet op vragen van RTL Z.