Losgeld gevraagd

Hogeschool betaalt hacker niet, honderdduizenden privégegevens op straat

07 september 2021 11:47 Aangepast: 07 september 2021 20:14
Beeld © HAN

De hogeschool van Arnhem en Nijmegen (HAN) is slachtoffer geworden van een grote hack. Een criminele hacker vroeg losgeld om persoonlijke gegevens van studenten en medewerkers niet te lekken, maar de hogeschool weigerde dat te betalen. De hacker heeft de gestolen gegevens nu op internet gezet.

De gestolen gegevens zijn ingezien en geverifieerd door RTL Nieuws. De hacker, die onder de naam 'masterballz' opereerde, was in gesprek met de HAN en vroeg naar eigen zeggen zo'n 10.000 euro in losgeld om de gegevens niet verder te verspreiden.

De HAN weigerde dat te betalen. Daarop besloot masterballz de gegevens, die hij buitmaakte via een lekke server van de HAN, te publiceren. "Ik ga het maar gewoon lekken, nog een prettige dag gewenst", vertelt hij in een chatgesprek aan RTL Nieuws.

De gestolen gegevens worden verspreid via een populaire downloaddienst. Het is nog niet duidelijk of de gegevens ook te koop worden aangeboden, of vooralsnog alleen onderling tussen criminelen worden gedeeld.

Honderdduizenden gegevens

Het gaat om de gegevens van honderdduizenden mensen, waaronder veel (oud-)studenten. Een groot deel daarvan is afkomstig uit contactformulieren waar studenten vragen over hun opleiding kunnen stellen. Ook gaat het om mensen die ooit interesse hebben gehad om te studeren bij de HAN, en die via zo'n formulier contact zochten met de hogeschool. De gegevens dateren soms nog uit 2009. 

Het gaat om honderdduizenden volledige namen, e-mailadressen, geboortedatums, telefoonnummers en woonadressen, en in enkele duizenden gevallen ook nog om onversleutelde wachtwoorden. Daarmee zijn de wachtwoorden direct te misbruiken door kwaadwillenden. De wachtwoorden zijn grotendeels van alumni van de HAN, niet van huidige studenten.

Een voorbeeld van de gestolen data. Een voorbeeld van de gestolen data.

'Niet bekend'

Een woordvoerder van de HAN meldt dat het onderzoek naar de hack nog loopt: "Op dit moment zijn wij nog bezig met het inventariseren om welke data het precies gaat. Het onderzoek loopt nog en richt zich op welke persoonsgegevens het betreft en van wie ze precies zijn. Dat doen we heel zorgvuldig en vraagt veel tijd."

De HAN stelt niet op de hoogte te zijn dat de gestolen gegevens daadwerkelijk zijn gepubliceerd. "Het is juist dat de aanvaller daarmee heeft gedreigd", zo vertelt de woordvoerder. Ook klopt het geëiste geldbedrag van 10.000 euro volgens de HAN niet. Om welk bedrag het volgens hen dan wel ging, wil de hogeschool niet zeggen.

De gestolen wachtwoorden zijn volgens de HAN 'verouderd'.

'Makkelijk doelwit'

"De HAN was een makkelijk doelwit", vertelt masterballz. De server zou verschillende grote kwetsbaarheden hebben gehad waarmee hij gemakkelijk binnen kon dringen. De HAN heeft de digitale inbraak op 1 september opgemerkt en externe experts ingeschakeld om het lek te dichten en de hack te onderzoeken. "Die zogenaamde experts snappen er niets van want er staat nog van alles open", stelt de criminele hacker.

De HAN waarschuwt gedupeerden alert te zijn op phishing en spam en staat in contact met de politie. Ook is er melding gedaan bij de Autoriteit Persoonsgegevens van een datalek. "We vinden het enorm vervelend dat we er niet in geslaagd zijn om dit incident te voorkomen", zo stelt de hogeschool op zijn website. "We bieden onze excuses aan voor de overlast die je mogelijk ervaart als gevolg van deze situatie."

Gedupeerden geïnformeerd

Getroffen personen worden volgens de hogeschool 'zo snel mogelijk' geïnformeerd over dat hun gegevens zijn gestolen en in de handen zijn gekomen van criminelen.

De HAN heeft dertien locaties: vijf in Arnhem en acht in Nijmegen. Bij de hogeschool studeren meer dan 35.000 studenten en werken ruim 4000 medewerkers. 

Altijd weten wat er speelt?
Download de gratis RTL Nieuws-app en blijf op de hoogte.

Playstore Appstore