Hack bij HAN-hogeschool trof mogelijk ruim half miljoen mensen
De hacker die ruim een maand geleden binnendrong in de systemen van de hogeschool HAN in Arnhem en Nijmegen heeft gegevens van mogelijk 530.000 mensen bemachtigd. Dat zegt de hogeschool na onderzoek.
De inbraak werd op 1 september ontdekt. Uit het onderzoek blijkt dat de hacker via een webformulier op een server heeft ingebroken. Daarop stonden 530.000 mailadressen met bijbehorende persoonsgegevens. Of de hacker die allemaal heeft buitgemaakt, is niet duidelijk. De HAN heeft alle betrokkenen geïnformeerd.
Privacygevoelig
In 95 procent van de gevallen betreft het volgens de HAN "algemene persoonsgegevens", zoals naam, adres en telefoonnummer. Die waren ingevuld door mensen die via contactformulieren informatie opvroegen over opleidingen of die zich wilden aanmelden voor een evenement.
Bij 3 procent gaat het om "meer privacygevoelige persoonsgegevens", zoals paspoortnummers, BSN-nummers, oude wachtwoorden, cv's of informatie over studievertraging. Ook die gegevens zijn ingevuld door mensen die bij de HAN aanvragen of aanmeldingen deden.
In 2 procent van de gevallen wordt nog onderzocht om welke gegevens het precies gaat, omdat die mogelijk samen met andere partijen zijn verzameld. Volgens de HAN betreft ook dit voornamelijk algemene gegevens.
Losgeld
De hogeschool bevestigt in een verklaring dat de hacker om losgeld heeft gevraagd, maar het ging om veel meer dan het bedrag van 10.000 euro dat eerder in de media werd genoemd. "Het betreft een veelvoud daarvan", zegt de HAN. Hoeveel precies wil de hogeschool niet zeggen.
"De HAN heeft vanaf het begin geweigerd om op deze afpersing in te gaan. De reden daarvoor is dat door te betalen deze vorm van cybercriminaliteit feitelijk in stand wordt gehouden en betalen geen garantie biedt dat de buitgemaakte data niet verder verkocht of gepubliceerd worden", aldus de hogeschool.
Het college van bestuur belooft de systemen nog beter te beveiligen. "We betreuren het dat er personen slachtoffer zijn geworden van deze datadiefstal en dat we dit niet hebben kunnen voorkomen. We bieden dan ook onze excuses aan, aan iedereen die op de één of andere manier last ondervindt van dit incident."
