De Hogeschool Arnhem Nijmegen (HAN) weigert om het losgeldbedrag dat de hacker vraagt te betalen. Die laat op zijn beurt weten de buitgemaakte gegevens op internet te zetten. Het gaat naar eigen zeggen om de persoons- en contactgegevens van honderdduizenden studenten en oud-studenten. Dat meldt RTL Nieuws, die met de hacker heeft gesproken.
Afgelopen week wist een onbekende het computernetwerk van de Hogeschool Arnhem Nijmegen (HAN) binnen te dringen. De onderwijsinstelling schreef dat ze een bericht van de dader had gekregen. Daarin schreef hij dat hij persoonsgegevens had weten buit te maken en hij deze openbaar dreigde te maken, tenzij de HAN een onbekend bedrag aan losgeld zou betalen.
Onderzoek wees uit dat de aanvaller via een lek in een van de servers van de HAN was binnengedrongen. Toen het lek aan het licht kwam, is deze onmiddellijk gedicht. De hogeschool bevestigde dat de hacker losgeld had geëist voor de gestolen data. “De HAN gaat niet op deze afperspogingen”, schreef de school afgelopen weekend.
Uit voorzorg stuurde de HAN een bericht over het datalek naar alle studenten en medewerkers. De onderwijsinstelling kon niet zeggen om welke gegevens het precies ging, maar vermoedelijk om algemene informatie zoals opleiding, studievoorkeur of een aanvraag voor ondersteuning. Wel waarschuwde ze iedereen voor de risico’s van phishing en spam.
RTL Nieuws zegt met de hacker te hebben gesproken, die zichzelf ‘masterballz’ noemt. Hij zegt persoonsgegevens van honderdduizenden studenten en oud-studenten te hebben gestolen. Het gaat om voor- en achternamen, adressen, e-mailadressen, telefoonnummers en geboortedata. Tevens heeft hij ‘enkele duizenden’ onversleutelde wachtwoorden weten buit te maken.
‘Masterballz’ zegt dat een groot deel van de gestolen gegevens afkomstig zijn van contactformulieren die studenten hebben ingevuld. Het gaat om mensen die vragen hadden over een studie en die ooit interesse hebben getoond om aan de HAN te studeren. De hacker vertelt tegenover RTL Nieuws dat de HAN ‘een makkelijk doelwit’ was. “Die zogenaamde experts snappen er niets van, want er staat nog van alles open”, vertelde hij aan techjournalist Daniël Verlaan.
De hacker zegt 10.000 euro aan losgeld te hebben gevraagd aan de HAN. De hogeschool weigerde dat te betalen. Daarop besloot ‘masterballz’ om de gestolen gegevens via een populaire downloaddienst te verspreiden. Een woordvoerder van de HAN zegt niet te weten of de gestolen gegevens daadwerkelijk zijn gepubliceerd. “Dit kunnen wij nog niet bevestigen, maar ligt wel in de lijn der verwachting”, schrijft de hogeschool op haar website. Ook het losgeldbedrag van 10.000 euro zou uit de lucht zijn gegrepen. Om welk bedrag het daadwerkelijk zou gaan, wilde hij niet zeggen.
Volgens de onderwijsinstelling heeft de dader inderdaad niet-versleutelde wachtwoorden gevonden. Het zou gaan om ‘verouderde wachtwoorden’. Deze zijn afkomstig van alumni van de HAN, niet van studenten die er momenteel studeren.
De HAN bevestigt dat het onderzoek naar de digitale inbraak nog loopt. De hogeschool laat weten dat het onderzoek ‘veel tijd’ vraagt. “De komende weken informeren we deze personen rechtstreeks. Daarbij geven we ook advies over eventuele vervolgstappen”, aldus de HAN in een persverklaring. De school heeft contact met het Team High Tech Crime van de politie en er is melding gedaan bij de Autoriteit Persoonsgegevens.
