HAN rondt onderzoek datalek af en informeert mogelijk getroffenen

De HAN University of Applied Sciences heeft het onderzoek naar het datalek, dat op 1 september aan het licht kwam, vrijwel afgerond. Uit het onderzoek komt naar voren dat een hacker zich via een webformulier toegang heeft verschaft tot 1 server van de HAN waarop een grote hoeveelheid data opgeslagen stond. Zo zijn er op deze server ruim 530.000 unieke mailadressen aangetroffen. Of de hacker daadwerkelijk alle op de server beschikbare data in handen en/of gepubliceerd heeft, is niet bekend. De HAN heeft desondanks besloten om iedereen van wie mogelijk gegevens zijn buitgemaakt te informeren.

Nieuwsbericht hack

Om welke data gaat het?

Van de mogelijk buitgemaakte persoonsgegevens gaat het in tenminste 95% van de gevallen om algemene persoonsgegevens zoals naam, adres, woonplaats, e-mailadres en telefoonnummer. Deze gegevens zijn ingevuld op online formulieren waarmee onder meer informatie kon worden opgevraagd over opleidingen of waarmee iemand zich kon aanmelden voor een bijeenkomst of evenement. Omdat de kans bestaat dat deze groep mogelijk slachtoffer wordt van phishing, is de HAN begonnen met het informeren van deze groep met het advies om extra alert te zijn op dit soort praktijken. Personen worden verwezen naar een webpagina over het datalek waar concrete tips te vinden zijn om het risico op phishing te minimaliseren. Deze week informeert de HAN iedereen uit deze groep.

Bij ongeveer 3% van de mogelijk getroffen gegevens is sprake van meer privacygevoelige persoonsgegevens. Daarbij gaat het bijvoorbeeld om paspoort- en IDkaart-nummers, wachtwoorden of persoonlijke informatie van studenten over bijvoorbeeld hun studievertraging. Een volledig overzicht van de verschillende soorten privacygevoelige gegevens is als bijlage bij dit persbericht te vinden. Deze personen heeft de HAN inmiddels geïnformeerd.

Nader onderzoek

Voor 2% van de mogelijk getroffen gevallen gaat het onderzoek nog door. Reden dat aanvullend onderzoek nodig is, is dat hier mogelijk sprake is van gegevens die samen met andere partijen zijn verzameld. Dit vergt mogelijk nadere afstemming met die partijen. Wel is duidelijk dat het voor deze groep voornamelijk om algemene persoonsgegevens gaat.

Excuses

“Als College van Bestuur betreuren we het dat er personen slachtoffer zijn geworden van deze datadiefstal en dat we dit niet hebben kunnen voorkomen. We bieden dan ook onze excuses aan, aan iedereen die op de één of andere manier last ondervindt van dit incident”, aldus Rob Verhofstad, voorzitter van het CvB van de HAN.

Verloop incident

Toen op 1 september jongstleden de datadiefstal bij de HAN bekend werd, is direct actie ondernomen. Zo heeft de HAN melding gedaan bij de Autoriteit Persoonsgegevens en is aangifte gedaan bij de politie. Met hulp van in- en externe experts is het lek gedicht en zijn de systemen voortdurend gemonitord. Via een liveblog op HAN.nl/datalek zijn updates geplaatst over de status van het incident.  Omdat de actuele HANaccount omgeving van studenten en medewerkers en het personeels- en salarissysteem niet betrokken waren bij het datalek, heeft het geen invloed gehad op het onderwijs, onderzoek en de ondersteunende diensten van de HAN.

Losgeld

De hacker heeft de HAN om losgeld gevraagd in ruil voor de door hem buitgemaakte gegevens. Het bedrag van 10.000 euro dat in de media circuleerde is onjuist. Het betreft een veelvoud daarvan. De HAN heeft vanaf het begin geweigerd om op deze afpersing in te gaan. De reden daarvan is dat door te betalen deze vorm van cybercriminaliteit feitelijk in stand wordt gehouden en betalen geen garantie biedt dat de buitgemaakte data niet verder verkocht of gepubliceerd worden. Over de exacte hoogte van het gevraagde losgeld doet de HAN geen nadere uitspraken.

Vervolg

Rob Verhofstad: “Ondanks al onze inspanningen om een digitaal veilige omgeving te bieden, waren we helaas niet bestand tegen deze aanval. Daarom blijven we doorgaan met het veiliger maken van onze ICT-omgeving en systemen.  Uiteraard proberen wij mensen die getroffen zijn door de datadiefstal zo goed mogelijk bij te staan met concrete tips en adviezen.”