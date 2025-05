De aanvallers die toegang wisten te krijgen tot het netwerk van de Technische Universiteit Eindhoven maakten gebruik van gestolen, hergebruikte wachtwoorden van vpn-accounts. Het was al bekend dat deze accounts eerder waren gecompromitteerd. De TU Eindhoven had de accounthouders gevraagd om hun wachtwoord te wijzigen, maar deze gebruikers hergebruikten het oude wachtwoord, wat niet automatisch werd voorkomen. Daarnaast werd voor de vpn geen multifactorauthenticatie (MFA) toegepast waardoor de aanvallers met alleen een gebruikersnaam en wachtwoord konden inloggen. Dat heeft de TU Eindhoven vandaag bekendgemaakt.

Uit onderzoek naar de aanval bleek dat de aanvallers op 6 januari voor het eerst inlogden. Vijf dagen later lukte het de aanvallers om hun rechten te verhogen. Op 12 januari probeerden de aanvallers om de back-upoplossing van de universiteit te stoppen. 25 minuten later haalde de TU Eindhoven het netwerk offline, waarmee ook de aanval werd gestopt. Voordat de aanval werd gestopt beschikte de aanvaller over enterprise administrator-rechten. Sporen van de aanvaller werden op 91 systemen aangetroffen. Op 14 systemen werden 'hands-on-keyboard' activiteiten uitgevoerd, op de overige 77 alleen ingelogd zonder verdere activiteit.

De universiteit zegt dat het de kwetsbaarheden in de eigen beveiliging waar de aanvallers misbruik van maakten inmiddels heeft aangepakt. Wie de aanvallers waren en wat hun doel was is onbekend. Vermoedelijk ging het om een ransomwaregroep. "De realiteit is dat we toch hackers binnen hadden, waardoor de universiteit een week lang stillag, met flinke gevolgen voor studenten en medewerkers. We nemen de adviezen uit de rapporten dan ook ter harte en blijven investeren in versterking van onze cybersecurity. Het blijft een wapenwedloop waarin je nooit stil kan staan", aldus TU/e-vicevoorzitter Patrick Groothuis.,/p>