Server Erasmus Universiteit met persoonlijke data gehackt
Aanvallers zijn erin geslaagd om een server van de Erasmus Universiteit Rotterdam te hacken en met malware te besmetten, zo heeft universiteit op de eigen website bekendgemaakt. Mogelijk hebben de aanvallers bij de hack toegang tot persoonlijke informatie gekregen.
Het gaat dan om persoonsgegevens die op de website van de universiteit staan zoals bijvoorbeeld de adresgids van medewerkers en studenten, waaronder namen en emailadressen. Uit eerste onderzoek blijkt dat het in ieder geval gaat om de EUR-adresgids van de medewerkers en de studenten. Daar staan 25.000 namen en e-mailadressen in. Verder zijn mogelijk ook gegevens van webformulieren gestolen.
Het gaat dan om formulieren voor aanmeldingen van cursussen, evenementen, afspraakverzoeken en ziek- en betermeldingen. De universiteit stelt dat studenten ook rekeningnummers in de webformulieren hebben kunnen achterlaten. Wanneer duidelijk is welke gegevens er daadwerkelijk gelekt zijn wordt iedere betrokkene voor zover mogelijk en nodig nader geïnformeerd, aldus de verklaring. Er zijn momenteel echter geen aanwijzingen dat er informatie is misbruikt. Op de getroffen server werd geen wachtwoordinformatie van studenten en medewerkers bewaard.
Malware
Volgens de universiteit was de hack, die afgelopen zondag werd ontdekt, mogelijk via een bestand dat de aanvallers op de website plaatsten, waarmee vervolgens toegang tot de webserver kon worden verkregen. De universiteit zegt dat het na ontdekking van de hack extra veiligheidsmaatregelen heeft genomen en de aanwezige malware van het systeem heeft verwijderd. Ook wordt de website continu gemonitord.
Samen met een externe partij doet de Erasmus Universiteit momenteel onderzoek naar de aard, impact en oorzaak van het incident. Zodra er meer bekend is volgt daarover informatie. Het incident is gemeld bij de Autoriteit Persoonsgegevens. Ook zal er aangifte bij de politie worden gedaan.
Waarom deden ze dit niet vanaf het begin?
Wat mij niet bevalt is dat er bestand op de website geplaatst is. Dat zou met een strikte inrichting (selinux confinement) met functiescheiding etc niet nodig zijn. Het is gangbare techniek welke beschikbaar is zonder meerkosten. Het probleem zit enkel in de beschikbare kwaliteit en tijd van de uitvoerende mensen.
Gebruikers gegevens horen ook niet op de webserver te staan, evenals e-mails en het resultaat van een invul-formulier.
komt er ook, de databeschermingswet treed in werking in 2018 en dan kun je beboet worden als je onvoldoende instpanning doet om je gegevens te beschermen.
komt er ook, de databeschermingswet treed in werking in 2018 en dan kun je beboet worden als je onvoldoende instpanning doet om je gegevens te beschermen.
correctie IS er ook.
De Wet bescherming privacy gegevens is in 2016 aangepast met de clausules die een entiteit/organisatie verplicht privay gegevens 'technisch afdoende' te beschermen. Wat technisch afdoende is, hangt af van de aard van de gegevens en het bedrijf. Als voorbeeld; een bedrijf wat met medische proeven werkt, kent een veel hogere mate van benodigde technische complexiteit.Naast de WBP wordt in 2018 de GDPR effectief. Ook daar is het privacy beginsel veel verder uitgewerkt. Right to be forgotten en privacy by design zijn wat voorbeelden (en natuurlijk het verplicht afdoende beschermen van gegevens)
gr
Eminus
IT Security krijgt zelden of nooit de aandacht die het verdient totdat er een voorval plaatsvind. Iets van Kalf en Dempen van putten.
Apart maar ik kan het mij OOK voorstellen (en dat klinkt gek van een security engineer) De investeringen zijn enorm en de skill set om een goed beveiligingsbeleid effectief te gebruiken is lastig. Ik word dagelijks geconfronteerd met senior management die zich blijft afvragen waarop die virusscanners + malware preventie + firewalls + IDS / IPS + SIEM + forcepoint oplossingen zo duur moeten zijn. Daarnaast moeten er ook nog policies geschreven worden, een goed en degelijk encryptie beleid ("technisch afdoende beveiligd weet je nog?") realiseren van pentesten.. (niet getest = niet gerealiseerd) het ontwikkelen van een secury awareness programma.. etc etc.
Je kan geld nou eenmaal maar één keer uitgeven.. Het enige wat ik hoop is dat mensen langzaam beginnen te beseffen dat er weldegelijk goed over moet worden nagedacht
gr
Eminus
De directies zijn wel gevoelig voor discontinuiteit, afbreukrisico's en imagoschade. Een beetje ervaring op doen met incidenten, kan wel een hoop momentum geven. In ieder geval bij deze universiteit, daar is een flinke IB bewustwording in gang gezet dit jaar.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.