HAN gaat niet in op afpersing, persoonsgegevens online

Eind vorige week zijn persoonsgegevens van HAN-studenten en/of medewerkers in handen gekomen van criminelen. Het datalek van een van de servers van de HAN is inmiddels gedicht, al beweert de hacker het tegenovergestelde in een chatgesprek met RTL Nieuws. De HAN is niet ingegaan op afpersingspogingen. Daarop heeft de crimineel de gegevens online gezet, aldus RTL Nieuws.

De HAN is niet de eerste onderwijsinstelling bij wie (persoons)gegevens zijn buitgemaakt: onder meer de Hogescholen van Amsterdam en InHolland en de Universiteiten van Amsterdam en Maastricht gingen hen voor.

Gegevens van gebruikers van HAN-website
De gestolen data zijn volgens de HAN gegevens die gebruikers van de website van de HAN hebben ingevuld op online formulieren. Denk bijvoorbeeld aan vragen over opleidingen, het opvragen van algemene informatie of het toelichten van een studievoorkeur. Daarbij zijn gegevens als namen en e-mailadressen van aanvragers opgeslagen. Ook contactgegevens van medewerkers zijn hierbij vrijgekomen.

Onversleutelde wachtwoorden
Volgens RTL Nieuws gaat het om de persoonsgegevens van honderdduizenden mensen, waaronder veel (oud-)studenten. Specifiek gaat het om volledige namen, e-mailadressen, geboortedatums, telefoonnummers en woonadressen. In enkele duizenden gevallen zijn onversleutelde wachtwoorden buitgemaakt. Daarmee zijn de wachtwoorden direct te misbruiken door kwaadwillenden. De wachtwoorden zijn grotendeels van alumni van de HAN, niet van huidige studenten. De gegevens gaan terug tot 2009.

Chatgesprek met hacker
Opmerkelijk genoeg heeft RTL Nieuws contact gehad met de criminele hacker. Volgens de nieuwssite noemt de hacker zich “masterballz” en heeft hij de HAN om 10.000 euro gevraagd om te voorkomen dat de buitgemaakte gegevens online zouden worden geplaatst voor iedereen om in te zien. Aangezien de HAN niet wil betalen, zijn de gegevens nu online gezet en te verkrijgen via een populaire downloaddienst, aldus RTL Nieuws. “Ik ga het maar gewoon lekken, nog een prettige dag gewenst”, vertelde hij in een chatgesprek aan RTL Nieuws. Overigens geeft de HAN aan dat het afpersingsbedrag dat RTL noemt, niet klopt. De onderwijsinstelling wil niet zeggen welk bedrag de hacker wel heeft gevraagd.

Verschillende grote kwetsbaarheden
“De HAN was een makkelijk doelwit”, vertelt masterballz verder in het chatcontact met RTL Nieuws. De server zou verschillende grote kwetsbaarheden hebben gehad waarmee hij gemakkelijk kon binnendringen. De HAN heeft de digitale inbraak op 1 september opgemerkt en externe experts ingeschakeld om het lek te dichten en de hack te onderzoeken. “Die zogenaamde experts snappen er niets van want er staat nog van alles open”, stelt de criminele hacker.

Zorgvuldig omgaan met persoonsgegevens
Het onderzoek richt zich nu onder meer op de gestolen persoonsgegevens en van wie die gegevens precies zijn. Volgens de HAN wordt dit op een zorgvuldige manier gedaan, waardoor het veel tijd gaat kosten. De personen die door het datalek getroffen zijn, worden de komende weken persoonlijk benaderd. Zij worden ook geadviseerd over eventuele vervolgstappen.

Reactie College van Bestuur
In een reactie zegt het College van Bestuur, bij monde van woordvoerder Maurice Chattelin: “Toen wij op 1 september constateerden dat er gegevens van de HAN in handen van derden waren gevallen hebben we direct maatregelen getroffen en onafhankelijke externe experts ingeschakeld. Er is onder andere melding gemaakt bij de Autoriteit Persoongegevens en ook de politie is ingeschakeld.
We zijn als CvB doordrongen van het feit dat digitale veiligheid een groot goed is, zeker in het onderwijs en bij onderzoek. Het onderwerp heeft dan ook voortdurend onze aandacht. We vinden het enorm vervelend dat we er desondanks niet in geslaagd zijn om dit incident te voorkomen. We bieden onze excuses aan voor de overlast die je mogelijk ervaart als gevolg van deze situatie. Wij stellen alles in het werk om iedereen een veilige online omgeving te blijven bieden.”

Aangifte
Alle HAN-studenten en -medewerkers worden opgeroepen alert te zijn op phishing en spam in hun mailbox. De HAN is in contact met het Team High Tech Crime van de politie en heeft aangifte gedaan van het voorval.

Bron: RTL Nieuws

Lees ook: Maken studenten en medewerkers zich zorgen over de HAN-hack?

Daarna: HAN-college maakt lijst met gestolen gegevens bekend en komt met vervolgonderzoek, over het vervolg van het datalek bij de HAN in 2021.

En verder: “Pas op, je bent online interessanter dan je denkt”, over socialmediawijsheid.

Het laatste nieuws: HAN compenseert vijf gedupeerden van datalek 2021