Hackers stelen versleutelde wachtwoorden HvA en UvA

Briefje op een laptop met daarop een wachtwoord

De hackers die verantwoordelijk zijn voor de cyberaanval op de Hogeschool en Universiteit van Amsterdam (HvA en UvA), hebben wachtwoorden van studenten en medewerkers buitgemaakt. Hoewel de wachtwoorden versleuteld zijn, bestaat de mogelijkheid dat de aanvallers de versleuteling weten te kraken. Het IT-personeel van de Amsterdamse onderwijsinstellingen raadt iedereen aan om hun wachtwoord te wijzigen.

Dat schrijft het Security and Operations Centre in een update.

Hackers probeerden een ransomware-aanval uit te voeren

Afgelopen week waren de HvA en UvA het slachtoffer van een cyberaanval. Direct na het voorval schakelde het IT-personeel diverse systemen uit. Zo wilden de hogeschool en universiteit voorkomen dat de daders toegang zouden krijgen tot het gehele netwerk. Studenten, docenten en andere academici konden toen tijdelijk geen gebruik maken van de onderzoeksfaciliteiten van de onderwijsinstellingen. Inmiddels is de hinder van het onderwijs en academisch onderzoek ‘zeer beperkt’: het onderwijs gaat door zoals gepland, evenals tentamens en onderzoek.

Volgens het Security and Operations Centre was de aanval uitgevoerd door ‘professionele hackers’ die uit waren op ‘financieel gewin’. De woordvoerder van de onderwijsinstellingen vertelt tegenover NU.nl dat de hackers hoogstwaarschijnlijk een ransomware-aanval probeerden uit te voeren. Dat zou blijken uit de sporen die ze hebben achtergelaten. Bij een ransomware-aanval weten de aanvallers het bedrijfsnetwerk van een instantie binnen te dringen om bestanden te versleutelen en stelen. Tegen betaling van losgeld halen ze het slot van de data, zodat medewerkers weer toegang hebben.

Snel nadat de cyberaanval had plaatsgevonden, deden er phishingmails de ronde. De berichten bevatten een URL die studenten en medewerkers doorstuurden naar een kwaadaardige pagina. Op deze manier trachtten de hackers inloggegevens buit te maken.

Studenten en medewerkers moeten wachtwoord wijzigen

Op dit moment doen IT-medewerkers er nog steeds alles aan om de cyberaanval af te slaan. Alle systemen worden nauwlettend gemonitord en opgeschoond. Op een FAQ-pagina stellen de HvA en UvA dat de aanval niet gericht lijkt te zijn op persoonlijke data (de pagina lijkt nu offline te zijn). Verder onderzoek moet dat echter uitwijzen.

Wel waarschuwt het Security and Operations Centre dat de hackers beschikken over de versleutelde wachtwoorden van studenten en medewerkers. Hoewel de inloggegevens goed beveiligd zijn, zouden de daders daar toch misbruik van kunnen maken. Iedereen wordt dan ook geadviseerd om zijn wachtwoord te veranderen. Wie hetzelfde wachtwoord voor andere online diensten gebruikt, wordt aangeraden om deze eveneens te wijzigen. Studenten en medewerkers ontvangen per e-mail instructies over hoe zij hun wachtwoord kunnen aanpassen. Wie recentelijk zijn wachtwoord heeft veranderd, wordt aangeraden om dat nogmaals te doen.

De IT-afdeling heeft bewust even gewacht met het uitbrengen van het verzoek om het wachtwoord aan te passen. Werknemers moesten ervoor zorgen dat het deel van het systeem na het wijzigen van het wachtwoord niet meer toegankelijk was voor hackers. Het duurde even om dat te realiseren. Wie nu zijn wachtwoord wijzigt, weet zeker dat zijn gegevens veilig zijn.

Geen verband met hackaanval op servers NWO

Het Security and Operations Centre vraagt iedereen om alert te zijn op phishingmails. Studenten en werknemers wordt geadviseerd om het e-mailadres van de afzender te controleren, URL’s in het bericht te controleren op betrouwbaarheid, geen bijlages te openen die je niet volledig vertrouwt en geen Office macro’s te activeren.

Vorige week werden de servers van de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO) gehackt. Alle applicaties werden na de aanval offline gehaald. Nog altijd is het door de hack onmogelijk om de dagelijkse werkzaamheden te hervatten. Het monitoringscentrum van de HvA en UvA zegt dat er geen verband tussen de aanval op de Amsterdamse onderwijsinstellingen en de NWO.

Update (27 februari 2021): studenten en medewerkers aan de Hogeschool en Universiteit van Amsterdam geven goed gehoor aan het verzoek om hun wachtwoord te wijzigen. Het Operations and Security Centre zegt in een updatebericht dat enkele tienduizenden studenten hun wachtwoord inmiddels hebben veranderd. “Heb je je wachtwoord nog niet gewijzigd, doe dit dan zo snel mogelijk!”, zo adviseren IT-medewerkers.

De reden waarom het Operations and Security Centre hier zo’n druk achter zet, is dat het oude wachtwoord vanaf 3 maart niet langer werkt. Studenten en personeelsleden van de HvA en UvA kunnen pas weer inloggen als zij hun wachtwoord wijzigen. “Heb je toetsen, zorg dan in ieder geval dat je je wachtwoord daarvoor gewijzigd hebt. Daarna vervalt je wachtwoord en heb je niet langer toegang tot de systemen. Je moet dan een moeilijkere procedure doorlopen om een nieuw wachtwoord te krijgen”, stelt de IT-afdeling.

Iedereen die zijn of haar wachtwoord nog niet heeft aangepast, heeft vrijdag daarvan een herinneringsbericht per e-mail ontvangen.

Update (10 maart 2021): de HvA en UvA schrijven in een gezamenlijk persbericht dat de ‘zware cyberaanval’ op de onderwijsinstellingen is afgeslagen. Het Security and Operations Centre heeft alle servers onderzocht en waar nodig opgeschoond. De hogeschool en universiteit nemen de komende weken de tijd om de aanval te onderzoeken en het plan van aanpak te evalueren. De uitkomsten van de evaluatie worden publiekelijk gedeeld.

De HvA en UvA schrijven in de persverklaring dat de hackers in korte tijd 50 van de ruim 1000 servers wisten te infecteren met malware om ze, op een later moment, te versleutelen. Door het kordate optreden van de IT-medewerkers heeft het nooit zover kunnen komen. Uit voorzorg vroeg de IT-afdeling aan ruim 110.000 studenten en medewerkers om hun wachtwoord te veranderen.

De hogeschool en universiteit melden dat er geen losgeld is betaald. Er zijn ook geen aanwijzingen dat de aanvallers persoonsgegevens of andere privacygevoelige informatie hebben buitgemaakt. Desalniettemin hebben ze aangifte gedaan bij de politie van computercriminaliteit. De Autoriteit Persoonsgegevens is eveneens op de hoogte gesteld.

“Deze aanval laat opnieuw zien dat het hoger onderwijs een doelwit is van gerichte aanvallen en dat het nodig is om bijzonder alert te zijn”, zegt Jan Lintsen, lid van het College van Bestuur van de UvA. Hanneke Reuling, vicevoorzitter van het College van Bestuur van de HvA, zegt trots te zijn op de ICT-afdeling. Het academisch onderwijs en onderzoek hebben minimaal te lijden gehad onder de cyberaanval. Ze benadrukt dat het belangrijk is om lessen te trekken uit de aanval en te blijven investeren in informatiebeveiliging.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen