Bijna een jaar lang konden mensen met verkeerde bedoelingen in de bestanden van ruim 500 HU’ers, door een datalek van SURFfilesender. De HU roept op om alert te zijn voor phishingmails of telefoontjes van onbekende nummers.
De tijd dat je iemand een zware map bracht is voorbij. Het papieren tijdperk is zo goed als afgelopen en bijna iedereen stuurt elkaar zijn bestanden vooral nog per mail. De antwoorden van een toets? De privé-omstandigheden van een student? Het dossier van een docent die niet functioneert? Vroeger had je daar de papierversnipperaar voor. Tegenwoordig zweven dat soort bestanden ergens rond. In een beveiligde ruimte. Hoop je.
Veel onderwijsinstellingen gebruiken SURF in plaats van het welbekende WeTransfer. Met SURFfilesender kun je immers, zo zegt het bedrijf zelf, veilig en versleuteld bestanden versturen. Tussen 21 november 2023 en 14 oktober 2024 was het echter mogelijk om toegang te krijgen tot bestanden van andere gebruikers. Cybercriminelen konden de inloggegevens van een nieuw type opslag van de bestanden van SURFfilesender achterhalen.
Dit hacken was dat jaar alleen mogelijk voor andere mensen die SURF gebruiken voor hun opleiding of werk. En wanneer de gebruiker geen ‘File Encryption’ had aangevinkt. Bij ‘File Encryption’ wordt je bestand versleuteld, ofwel: extra beschermd.
Veiligheidstest
Het lek (of ‘kwetsbaarheid’, zoals het in de mail van de HU staat beschreven) kwam aan het licht door een zogenaamde penetratietest. Die laat SURF één keer per jaar doen door een externe partij. Ook voeren ze maandelijks en per kwartaal bepaalde scans uit. Met zo’n test controleren bedrijven regelmatig hun eigen computersystemen en software, door iemand in te huren die probeert de website binnen te dringen.
Ruim 500 HU’ers
Of er bestanden zijn gestolen en van wie, kan niemand achterhalen. SURF kan alleen terugkijken tot 27 september 2024 en heeft tot daar niks gevonden. Wat er de overige 10 maanden is gebeurd, is dus niet duidelijk.
Hoe groot is dan het drama? Als bericht hebt gehad, hoor je sowieso bij de slachtoffers. Iedereen die mogelijk gehackt kon worden, heeft namelijk een mail gehad op 31 oktober, van de veiligheidsafdeling van de HU. Dat zijn er 510 (van wie 183 studenten en 327 medewerkers). Van hen kon SURF wél achterhalen dat ze in dat jaar gebruik hadden gemaakt van SURFfilesender en daarbij niet het vakje ‘bestandsversleuteling’ hadden aangeklikt.
Dat je niets hebt te vrezen als je niet bij die 510 hoort, is helaas ook weer niet helemaal waar. Als jouw gegevens in die bestanden zaten, zijn die mogelijk ingezien of doorverkocht. Daarom roept de HU in de mail op om alert te blijven en contact op te nemen als je meer phishingmailtjes of SMS berichten van onbekenden dan gebruikelijk ontvangt. Dan wordt er gekeken welke dreiging de berichten (mogelijk) bevatten en of daar wat aan gedaan kan worden. Ook roept de HU op om personen te informeren waarvan gegevens waren opgeslagen in de verstuurde documenten.
Niet alleen de HU is slachtoffer geworden, maar elke instelling die werkt met SURFfilesender. Het gaat om de verstuurde documenten van bijna 35.000 mensen (waarvan ongeveer tien procent zijn bestanden versleuteld heeft geüpload).
File Encryption
Door het gebruik van ‘File Encryption’ wordt je bestand extra veilig verstuurd, is het idee. Je moet zelf het vakje voor extra bestandsversleuteling aanvinken als je daar gebruik van wilt maken. Waarom dat niet standaard is ingeschakeld? Volgens de woordvoerder van SURF ligt dat aan het geheugen. ‘De versleuteling en ontsleuteling van een bestand vindt plaats in het geheugen van de browser van de gebruiker. Dat geheugen is beperkt en maximaal 2GB per bestand (een Word-bestand is vrijwel altijd kleiner, maar een kwalitatief hoge foto is bijvoorbeeld groter). Maar via SURFfilesender kun je ook veel grotere bestanden versturen. Door automatisch die versleuteling aan te zetten, zou dat niet meer kunnen.’
Vorige week verscheen een bericht op ÉÉN HU (interne medewerkerssite), waarin de HU medewerkers adviseert altijd gebruik te maken van de optie om bestanden te versleutelen.
Samenwerking SURF
De Functionaris Gegevensbescherming van de HU heeft een melding gedaan bij de Autoriteit Persoonsgegevens (AP) en de portefeuillehouder van het College van Bestuur. Ook SURF heeft dit datalek bij de AP gemeld. De melding wordt beoordeeld op juistheid, impact en de manier van handelen.
Wat er daarna gebeurt, is nog niet duidelijk. In het uiterste geval kan de AP een dwangsom of boete opleggen aan SURF. De woordvoerder van de HU verwacht dit niet.
Volgens de HU heeft het datalek geen gevolgen voor de samenwerking met SURF. ‘We kunnen de werkwijze van SURF enkel complementeren. Uit eigen beweging hebben zij een penetratietest uitgevoerd, waar een kwetsbaarheid naar voren kwam. Deze is direct verholpen, en alle betrokken partijen zijn geïnformeerd’, meldt de woordvoerder. Ook meldt ze dat kwetsbaarheden in andere software ook niet 100 procent te voorkomen zijn.
