De Universiteit Utrecht heeft van zesduizend afgestudeerden de burgerservicenummers gelekt. De data was onderdeel van een oude back-up die onbedoeld in de omgeving van het cloudsoftwarebedrijf Blackbaud stond en werd gestolen door een aanvaller. De universiteit maakte het datalek afgelopen dinsdag al bekend, maar nu blijkt dat er ook burgerservicenummers zijn gecompromitteerd.

De universiteit had de bsn's niet in de database mogen opslaan, zo laat het in een e-mail aan getroffen afgestudeerden weten. "Bij een eigen controle van onze database naar aanleiding van dit incident, is gebleken dat wij van een beperkt aantal alumni het burgerservicenummer in ons systeem hadden staan. Wij zijn in ons systeem niet gerechtigd dit nummer op te slaan en gebruiken het ook niet. Deze nummers zijn vermoedelijk bij de overdracht uit het studentadministratiesysteem na afstuderen per abuis naar ons systeem overgedragen."

Tegenover Tweakers.net stelt een woordvoerder dat het om de burgerservicenummers van zesduizend afgestudeerden gaat. Daarnaast bevatte de gestolen back-up van zo'n 190.000 personen de contactgegevens.

Blackbaud levert allerlei diensten aan non-profitorganisaties en onderwijsinstellingen, waaronder CRM-systemen (customer relationship management). Het bedrijf was in mei het doelwit van een ransomware-aanval, zo maakt het op 16 juli bekend. De aanval werd gestopt, maar voordat de aanvaller de ransomware uitrolde wist hij gegevens van een aantal Blackbaud-klanten te stelen.

Het ging onder andere om Britse universiteiten, die dit al op 21 juli aan hun studenten rapporteerden. De Universiteit Utrecht en TU Delft, waarvan de gegevens ook in de back-up stonden, werden pas veel later geïnformeerd. De universiteiten onderzoeken waarom er nog een verouderde back-up op de server van Blackbaud stond en wat de oorzaak is van de vertraging tussen de cyberaanval en het moment waarop Blackbaud hen daarover informeerde.

Blackbaud liet bij de aankondiging van het datalek op 16 juli weten dat het de crimineel achter de aanval had betaald om de data te vernietigen. Het bedrijf denkt niet dat de data buiten de cybercrimineel om is verspreid, is of zal worden misbruikt of op andere wijze openbaar zal worden gemaakt.