Op 30 mei zijn de e-mailadressen van ongeveer 60.000 Nederlanders met een studieschuld tijdelijk zichtbaar geweest online, meldt BNR (1). Een ethische hacker ontdekte het datalek bij de Dienst Uitvoering Onderwijs (DUO). Het lek werd dezelfde avond nog gemeld.
DUO had eerder die dag een enquête verstuurd waarbij gebruik was gemaakt van beveiligingssoftware van het Zwitserse bedrijf Survalyzer. Deze software bleek kwetsbaar te zijn: 60.000 e-mailadressen waren zichtbaar.
Een dergelijk datalek is zeer schadelijk en kan vergaande gevolgen hebben. Aangezien veel studenten hun naam in hun e-mailadres hebben staan, betreft het belangrijke gegevens. De Landelijke Studentenvakbond (LSVb) is dan ook kwaad over het datalek.
Voorzitter Elise Weehuizen wijst erop dat het hebben van een studieschuld “supergevoelige informatie” is die niet zomaar openbaar mag worden gemaakt. Er heerst bij veel studenten schaamte over het hebben van een studieschuld.
Bovendien kan een datalek als dit door cybercriminelen gebruikt worden voor oplichting, zoals phishing-aanvallen.
DUO heeft voor het uitzenden van enquêtes gebruik gemaakt van commercieel bedrijf Survalyzer. Aangezien het om meerdere enquêtes ging, waren de gegevens van scholen, gemeenten en zelf DUO-personeel zelf ook tijdelijk zichtbaar.
Volgens de Dienst Uitvoering Onderwijs heeft alleen de hacker die het datalek ontdekte de gegevens gezien. Er is melding gemaakt bij de Autoriteit Persoonsgegevens. Het onderzoek waarvoor de enquêtes dienst deden is op 31 mei offline gehaald.
Waarom DUO ervoor gekozen heeft om Survalyzer te gebruiken is niet duidelijk. Roos Dijkxhoorn, oprichter van cybersecuritybedrijf PuraSec, stelt dat DUO grondig onderzoek had moeten doen naar de beveiliging van het bedrijf.
(1) https://www.bnr.nl/nieuws/nieuws-politiek/10550815/gegevens-60-000-terugbetalers-op-straat-na-fout-bij-duo
