Onafhankelijke journalistiek over de Vrije Universiteit Amsterdam | Sinds 1953
7 november 2024

Campus
& Cultuur

Half miljoen mensen de dupe door hack hogeschool

E-mailadressen, maar soms ook BSN-nummers, functiebeperkingen en politieke voorkeuren… het is een greep uit de gegevens van 530 duizend mensen die een hacker buitmaakte bij de hogeschool van Arnhem en Nijmegen.

De Hogeschool van Arnhem en Nijmegen (HAN) heeft het onderzoek naar het datalek dat op 1 september werd ontdekt vrijwel afgerond. Een hacker bemachtigde gegevens van studenten, medewerkers en andere contacten van de hogeschool.

De HAN weigerde de hacker losgeld te betalen, waarna de data volgens RTL-nieuws online werden gezet. Over de hoogte van het losgeld wil de HAN nog steeds niets kwijt. Wel laat ze weten dat het “een veelvoud” is van de 10 duizend euro die eerder in de media werd genoemd. 

Buitgemaakte gegevens

Het onderzoek laat zien dat de hacker via een webformulier toegang kreeg tot een server van de hogeschool. De meeste buitgemaakte gegevens (ten minste 95 procent) zijn volgens de hogeschool algemene persoonsgegevens, zoals naam, adres, woonplaats, e-mailadres en telefoonnummer. 

In drie procent van de gevallen (14.766 keer) ging het om privacygevoelige persoonsgegevens. Daaronder valt bijvoorbeeld het BSN-nummer (407 keer),  functiebeperkingen (2.087 keer), de studievertraging van studenten (1.418 keer) en hun politieke voorkeur (152 keer). Een deel van deze data stond al sinds 2011 op de gehackte server. 

Het onderzoek is nog niet helemaal afgerond. In twee procent van de gevallen zijn de data samen met andere partijen verzameld en daarom is er volgens de HAN “nadere afstemming” nodig. Het zou hierbij voornamelijk gaan om algemene persoonsgegevens waar de hacker toegang tot had. 

De HAN biedt nogmaals excuses aan en betreurt dat ze de datadiefstal niet heeft kunnen voorkomen. Gedupeerden worden geïnformeerd over het lek en krijgen tips om het risico op phishing te minimaliseren. 

Cyberveiligheid

De inspectie concludeerde vorige maand dat de overheid zich ook met de cyberveiligheid in het onderwijs moet gaan bemoeien. Het hoger onderwijs werd al vaker getroffen: in 2019 legde gijzelsoftware Universiteit Maastricht plat. Die betaalde toen bijna twee ton aan losgeld.

Reageren?

Houd je bij het onderwerp, en toon respect: commerciële uitingen, smaad, schelden en discrimineren zijn niet toegestaan. Reacties met url’s erin worden vaak aangezien voor spam en dan verwijderd. De redactie gaat niet in discussie over verwijderde reacties.

Velden met een * zijn verplicht
** je e-mailadres wordt niet gepubliceerd en delen we niet met derden. We gebruiken het alleen als we contact met je zouden willen opnemen over je reactie. Zie ook ons privacybeleid.