Van 288 Saxion-mailaccounts zijn de logingegevens gestolen om te gebruiken voor ransomware-aanvallen, bleek afgelopen donderdag tijdens de grote politie-operatie ‘Operation Endgame’. De wachtwoorden van die accounts zijn dezelfde dag nog gereset. Volgens Wilbert Hepping, Chief Information Security Officer (Ciso), liep Saxion geen risico op bijvoorbeeld een aanval met gijzel-software.
Hepping kreeg afgelopen donderdag bericht vanuit het Digital Trust Centre van ministerie van Economische Zaken over het datalek. De politie was namelijk in Europees verband bezig met ‘Operation Endgame’, waarbij verschillende botnets offline zijn gehaald. In Nederland zijn 33 servers uit de lucht gehaald en werd één doorzoeking gedaan.
Eind mei zijn door de internationale opsporingsautoriteiten botnets IcedID, Smokeloader, SystemBC, Pikabot en Bumblebee offline gehaald. Uit de buitgemaakte kwam ook Saxion naar voren. Er bleken 288 inloggegevens gestolen te zijn.
Uiteindelijk bleek het om accounts van twee medewerkers en zo’n 75 studenten te gaan, zegt Hepping. De overige accounts waren niet meer actief. Die waren bijvoorbeeld van afgestudeerde studenten of medewerkers die van Saxion vertrokken zijn. Die accounts kwamen wel naar voren in het politieonderzoek, omdat ze in de gevonden database zaten, waarvan niet bekend is hoe oud die is.
De gestolen inloggegevens van Saxion hebben niet tot schade geleid, zo concludeerde de security-afdeling. “Daar heeft multifactor authentication (MFA) bij geholpen”, zegt hij. Sinds ongeveer twee jaar zijn een email-adres en wachtwoord namelijk niet meer genoeg om in te loggen. Daarvoor is een tweede stap vereist, het invoeren van een steeds afwisselende cijfercombinatie die naar de mobiele telefoon wordt gestuurd.
Geld eisen
De botnets proberen met die logingegevens in systemen te komen, in dit geval van Saxion. Die kunnen dan bijvoorbeeld platgelegd worden, of er wordt gevoelige informatie gestolen, waarna de criminelen geld eisen om de website weer vrij te geven. Daarvoor wordt malware geïnstalleerd, bijvoorbeeld door mensen die op een verkeerde link hebben geklikt. Die malware draait onzichtbaar op de achtergrond en verstuurt inloggegevens naar de botnets.
De autoriteiten schatten in dat er voor honderden miljoenen euro’s aan financiële schade is aangebracht bij overheden en overheidsinstellingen.
Afgelopen donderdag, 12.15 uur, kwam de melding van de gestolen Saxion-emailaccounts bij Hepping binnen. “Ik haalde er meteen onze security specialist bij”, zegt hij. Drie kwartier later, om 13 uur, was de complete groep bij elkaar om de noodzakelijke acties uit te zetten. Later in de middag, 16 uur, waren alle stappen ondernomen.
Welke stappen gezet zijn? Als eerste moesten de risico’s ingeperkt worden, zegt Hepping. “We hebben van alle geïnfecteerde accounts het wachtwoord gereset, zodat er niet meer een poging tot inlog gedaan kon worden. Daarna keken we of we vreemde gedragingen in het systeem zagen. Dat bleek niet het geval.”
Vervolgens zijn de betreffende medewerkers en studenten rechtstreeks geïnformeerd via hun privé-mail. De laptops van de medewerkers zijn opnieuw geïnstalleerd. “Daarmee hebben we de eventuele malware op die computer verwijderd”, aldus Hepping.
Bij de studenten kon dat niet, omdat die op hun eigen laptop werken. “We hebben in de mail naar hun privéadres gewezen op de mogelijkheden om een scan te doen en de malware te verwijderen”, aldus Hepping. “Ook hebben we aangeboden om dat door de IT-Servicedesk te laten doen.” Navraag leert dat geen van de studenten dat laatste heeft gedaan.
Check je hack
Op de site Check je hack van de politie kunnen mensen controleren of ze getroffen zijn door, of deel uitmaken van, een aantal ontmantelde botnets. De geïnstalleerde malware die onzichtbaar op de achtergrond draait kan verwijderd worden met een virusscanner of een speciaal anti-malware programma.
Gerelateerde artikelen
Studenten nog niet vrijgeroosterd voor medezeggenschap; “Heel vervelend”
Het is niet gelukt om de twaalf studenten die zitting hebben in de Centrale Medezeggenschap (CMR) vrij te roosteren voor van lessen, laat CMR-voorzitter en Bestuurskunde-student Milan Wolf weten. Hij zegt dat ‘teleurstellend’ te vinden. Saxion-woordvoerder Karin Effing zegt dat studentparticipatie in de medezeggenschap heel belangrijk is, en dat het ‘des te vervelender’ is dat het uitroosteren niet goed gelukt is.
Column: Docentfluencer
Mensen die elke ochtend een koude douche nemen (hoeveel zouden dat nu nog blijven doen vraag ik me af), al dan niet gecombineerd met ademhalingsoefeningen, kinderen van 12 die dure huidproducten op hun gezicht smeren, grote drinkbekers van Yolanthe (want je moet wel 2 liter water per dag drinken), middelen om je cortisol op peil te houden, collageen, de laatste Shein- en Temu-aanbiedingen; als je wel eens wat tijd verdrijft op Instagram en andere sociale media, kom je het tegen. De een is er gevoeliger voor dan de ander.
CB-studenten maken docu over zwangere en alleenstaande Gambiaanse: “Ida is een echte powervrouw”
Twee vierdejaars Creative Business-studenten gaan het leven van Ida Daffeh vastleggen. De jonge Gambiaanse groeide op in armoede, kende flinke tegenslagen en is nu zwanger en alleenstaand. Ze hopen op geld en aandacht voor haar situatie, maar proberen daarbij los te komen van hun eigen Westerse blik. “We willen niet het beeld schetsen van het arme vrouwtje dat wordt geholpen door Europeanen.”