Nieuws

Bijna alle HU-medewerkers getroffen door hack bij ID-ware

Illustratie: iStock

Van vrijwel alle medewerkers van de HU zijn data buitgemaakt en op het dark web gepubliceerd na de hack bij het bedrijf DI-ware. Ook gegevens van een nog onbekend aantal oud-personeelsleden en student-medewerkers zijn in handen van de hackers.

Dat zegt HU-woordvoerder Seger Pijnenburg naar aanleiding van een brief hierover die afgelopen vrijdag aan alle medewerkers en studenten is verstuurd. Ruim een week geleden meldde de HU dat gegevens van personeel (en studenten die werkten voor de hogeschool) van een extern bedrijf zijn gestolen en op het dark web zijn gezet.

De omvang van de datadiefstal was toen onbekend, maar inmiddels is duidelijk dat er massaal persoonsgegevens ontvreemd zijn. De HU onderzoekt dit nog steeds, maar het treft waarschijnlijk bijna alle medewerkers. ‘Een klein deel is waarschijnlijk niet bij deze hack betrokken’, vertelt Pijnenburg. Daarnaast onderzoekt de hogeschool om hoeveel oud-medewerkers en student-medewerkers het gaat.

Identiteitsfraude

In een brief schrijft het college van bestuur dat namen, woonadressen, interne personeelsnummers en kaartnummers zijn ontvreemd en op het dark web zijn gezet. Dit kan leiden tot het ontvangen van spam en phishing. Er zijn geen e-mailadressen ontvreemd maar criminelen kunnen die wel samenstellen. Ook de mogelijkheid van identiteitsfraude staat genoemd, vooral als de gegeven worden gecombineerd met andere data.

Er zijn meerdere instanties slachtoffer geworden van de hack. Onder meer de Tweede Kamer, de Technische Universiteit Eindhoven, TNO en Prorail zijn ook getroffen, meldt het Financieele Dagblad (inloggen). De groep Black Cat voerde de ransomware-aanval uit. Met gijzelsoftware werden bestanden versleuteld. Bij betaling van losgeld zouden de gegevens weer bruikbaar worden. Nadat ID-ware weigerde geld te betalen, werden de data op het darkweb gepubliceerd, schrijft het FD. Het zou gaan om de persoonsgegevens van bijna 40.000 mensen.

Verdachte mails

De HU heeft een e-mailadres geopend waarop mensen vragen kunnen stellen of hun zorgen uiten. Bij ‘datalek-HUpas@hu.nl’ zijn enkele tientallen reacties binnengekomen. Ook is er een speciale pagina gestart waarop vragen en antwoorden komen over deze zaak komen te staan.

De hogeschool benadrukt dat het data betreft die alleen bij het bedrijf ID-ware aanwezig was, dus niet gegevens van de systemen van de HU (zoals collegepassen van studenten). Ook kunnen derden geen passen namaken met de buitgemaakte data.

‘We betreuren dat dit is gebeurd en dat de gevolgen jullie in de privésfeer kunnen raken. Helaas is het ook de realiteit van de huidige digitale samenleving, waarin kwaadwillenden op zoek zijn naar dit soort gegevens’, staat in de brief van het college.

De HU doet een dringende oproep aan studenten en medewerkers om geen links te openen in verdachte mails en geen inloggegevens door te geven. ‘Dat voorkomt een heleboel narigheid’, zegt woordvoerder Pijnenburg.