Het bedrijf ID-ware, dat HU-passen produceert en gehackt is, heeft niet volgens de afgesproken procedures gewerkt. Ze hadden de adressen van medewerkers moeten verwijderen, maar deden dat een bepaalde periode lang niet.
Dat staat op de speciale informatiepagina die de HU heeft gelanceerd. Op 19 oktober maakte de hogeschool bekend dat gegevens van medewerkers zijn buitgemaakt tijdens een ransomeware-aanval. Het gaat om onder meer namen en adressen die zijn opgeslagen bij het bedrijf ID-ware. Later werd duidelijk dat het bijna alle medewerkers betreft maar ook groepen oud-personeelsleden en student-medewerkers van de HU.
ID-ware is een Duits bedrijf met een Nederlandse dochter. Het is in 2021 ingeschakeld door de HU om nieuwe medewerkerspassen te produceren. Dat was nodig omdat er meerdere kaarten in omloop waren voor verschillende diensten. Ook was de chip in de oude kaart niet veilig, staat op een bericht (inloggen) op Sharepoint. Met de nieuwe kaart kunnen medewerkers onder meer koffie halen, kopiëren en parkeren.
De HU heeft destijds met ID-ware bekeken welke gegevens ze nodig hadden om de HU-pas te produceren en op te sturen naar de medewerkers. Zodoende leverde de hogeschool namen, adressen, persoonsnummer en kaartnummer aan het bedrijf. ‘Het uitgangspunt is dat de woonadressen van medewerkers door de leverancier worden verwijderd zodra de pas is geactiveerd’, staat op de speciale pagina ‘FAQ datalek ID-ware’.
Versleuteld
Medewerkers moesten zelf de pas activeren op een speciale webpagina. ‘We hebben moeten constateren dat dit helaas bij het aanmaken van de nieuwe passen in maart 2021 niet goed is gegaan’, vervolgt de pagina over het datalek. Met andere woorden: de gegevens van de HU-medewerkers en anderen werden tegen de afspraken in bij ID-ware opgeslagen en bewaard, bevestigt HU-woordvoerder Seger Pijnenburg. ‘Kennelijk zijn ze niet verwijderd want bij de hack zijn deze gegevens buitgemaakt’, beaamt hij.
ID-ware ontdekte op 17 september dat het is getroffen door een ransomware-aanval. Een deel van de data van klanten bleek versleuteld. Deskundigen voerden een onderzoek uit naar de aard van de hack en naar welke gegevens het ging. Het lek werd gedicht en de veiligheid van systemen aangescherpt. Er is melding gedaan bij de Autoriteit Persoonsgegevens contact gezocht met het Nationaal Cyber Security Centrum (NCSC) en de politie, schrijft het bedrijf in een bericht.
Technische Universiteit Eindhoven
Behalve de HU zijn ook data gestolen van ministeries, De Eerste en Tweede Kamer, de Technische Universiteit Eindhoven en Prorail. De cybercriminelen vroegen aan ID-ware een bedrag aan losgeld (waarvan de hoogte niet bekend is gemaakt) maar het bedrijf weigerde te betalen. De data werd op het darkweb geplaatst. De gedupeerde instanties zijn daarvan op de hoogte gesteld.
Volgens de HU zijn de adressen van medewerkers die na maart 2021 in dienst zijn gekomen en hun pas hebben geactiveerd wel uit het bestand van ID-ware geschrapt. Dit is ook het geval bij studenten die een HU-pas kregen omdat ze aan de HU werkten of stageliepen. De hogeschool benadrukt dat er geen gegevens van collegekaarten van studenten zijn gelekt.
De HU heeft het bedrijf ‘aangesproken’ op de gang van zaken, staat op de FAQ-pagina. Woordvoerder Pijnenburg weet niet of de hogeschool ID-ware aansprakelijk stelt of dat er een rechtszaak aan staat te komen.
ID-ware is gevraagd om een reactie maar kon maandagmiddag niet reageren.