Hacker HAN had toegang tot medische gegevens studenten

studenten op laptops

Naast andere persoonsgegevens zijn ook medische gegevens buitgemaakt in de hack van de Hogeschool Arnhem Nijmegen (HAN) afgelopen 1 september. De onderwijsinstelling bracht gisteren de bevindingen van het onderzoek naar het datalek naar buiten. Hierin geven ze aan dat de hacker toegang heeft gehad tot algemene persoonsgegevens zoals naam, adres, woonplaats, e-mailadres en telefoonnummer, maar ook tot meer specifieke informatie.

De server die door de hacker werd binnengedrongen bevatte meer dan 530.000 unieke e-mailadressen.

Politieke voorkeur en psychische problemen

De HAN geeft aan dat bij 3% van de getroffen studenten ook zeer privacygevoelige persoonsgegevens zijn gelekt. Het gaat daarbij bijvoorbeeld om paspoort- en ID-nummers, wachtwoorden, en meldingen over functiebeperking of studievertraging.

Studenten konden in een webformulier melding maken van bijvoorbeeld psychische klachten zodat hier door de opleider rekening mee kon worden gehouden. Helaas ziet het er naar uit dat de hacker ook tot deze informatie toegang heeft gehad. Ook data uit een politieke enquête zou gelekt zijn, waardoor van sommige studenten zelfs de politieke voorkeur bij de hacker bekend kan zijn.

De studenten om wie het gaat zijn inmiddels allemaal op de hoogte gesteld. Daarnaast deed de onderwijsinstelling direct na de hack ook al aangifte bij de politie en maakte ze melding bij de Autoriteit Persoonsgegevens (AP).

Losgeld

De HAN geeft aan dat het bedrag van 10.000 euro losgeld, wat in de media circuleert, niet klopt. Ze zeggen dat de hacker een veelvoud van dat bedrag eiste. RTL nieuws zou het afpersbericht in handen hebben gekregen en daarin vraagt de hacker, die zich ‘masterballz’ noemt, om 4 bitcoin aan losgeld. Dit komt neer op ongeveer 156.000 euro.

De HAN wil verder niks kwijt over de hoogte van het bedrag. Ze geven aan dat ze niet op de afpersing in zijn gegaan omdat betaling dit type cybercrime in stand houdt en er geen garantie is dat de hacker na betaling echt niks met de gegevens doet.

Risico op phishing

Het is onduidelijk wat de hacker inmiddels met de gestolen informatie heeft gedaan. Het zou kunnen dat de data gepubliceerd of verkocht wordt op het dark web. Cybercriminelen kunnen de persoonsgegevens gebruiken om de (ex-)studenten middels phishing geld afhandig te maken. Het is daarom belangrijk dat getroffen personen op de hoogte zijn van het lek en scherp blijven op verdachte berichten.

Techredacteur
Tove is al een aantal jaar actief bij VPNgids als techredacteur. Haar doel is om belangrijke informatie over veilig internetten en privacy voor iedereen beschikbaar en begrijpelijk te maken. Mensen kunnen zich beter wapenen tegen cybercriminaliteit en internetcensuur wanneer ze weten waar het over gaat. Meer over Tove.
Plaats een reactie
Een reactie plaatsen