Door een ransomware-aanval zijn de privégegevens van bijna zestigduizend TU-alumni in handen gekomen van cybercriminelen. Wat nu?
“Er is geen aanleiding is om aan te nemen dat de gestolen data zijn verspreid.” (Afbeelding: Maxpixels)
Delen
De gegevens kwamen in handen van criminelen nadat het bedrijf Blackbaud, dat verantwoordelijk is voor de Customer Relations Managementsystemen (CRM) van de TU, werd gehackt. Het gaat om persoonsgegevens (naam, geslacht en geboortedatum), adressen en opleidings- en loopbaangegevens. De TU stelt deze en volgende week alle gedupeerden op de hoogte per post en e-mail, en heeft melding gedaan bij de Autoriteit Persoonsgegevens.
Blackbaud is leverancier van CRM-systemen voor onderwijsinstellingen en organisaties in de non-profitsector. Een groot aantal onderwijsinstellingen wereldwijd is geraakt door de hack, die tussen 7 februari en 20 mei plaatsvond. Door de geslaagde ransomware-aanval hebben criminelen in het geval van de TU Delft toegang gekregen tot een oude back-up van begin 2017 die nog in de omgeving van Blackbaud stond.
Het bedrijf heeft laten weten dat de betreffende back-up met data is vernietigd door de hackers en meldt dat er geen aanleiding is om aan te nemen dat de data door hen zijn verspreid, zo meldt de TU in een persbericht.
‘We heroverwegen de samenwerking met dit bedrijf’
De universiteit werd op 16 juli door Blackbaud geïnformeerd, maanden nadat de hack plaatsvond. Rijkelijk laat. TU-persvoorlichter Karen Collet vertelt dat de TU om uitleg heeft gevraagd. “We willen weten wat de reden is van de vertraging tussen de cyberaanval en het moment waarop Blackbaud ons daarover informeerde, welke stappen het bedrijf zet om de veiligheid van hun systemen te verbeteren en waarom er nog een oude back-up in hun systeem stond. Uiteraard zijn we geschrokken. We heroverwegen de samenwerking met dit bedrijf. Maar vooraleerst moeten we weten wat er precies is gebeurd.”
In Utrecht kwamen ook persoonsgegevens van donateurs en relaties in handen van de hackers. In deze back-ups stonden zelfs bankgegevens, al waren die versleuteld.
De TU houdt sinds kort gegevens bij van donateurs en hun giften middels CRM-software van Blackbaud. Die informatie is uiteraard gevoeliger dan namen en adresgegeven. “Ook bij ons geldt dat die data versleuteld zijn”, zegt Collet.
Update 17 augustus: Bij de Universiteit Utrecht zijn ook zesduizend burgerservicenummers van alumni buitgemaakt. De universiteit sloeg deze gegevens per abuis en onrechtmatig op, zo liet de universiteit weten in een email naar de getroffen alumni.
Comments are closed.