Inloggegevens van 288 Saxion-accounts bleken gestolen, maar ‘Saxion heeft geen risico gelopen’

Van 288 Saxion-mailaccounts zijn de logingegevens gestolen om te gebruiken voor ransomware-aanvallen, bleek afgelopen donderdag tijdens de grote politie-operatie ‘Operation Endgame’. De wachtwoorden van die accounts zijn dezelfde dag nog gereset. Volgens Wilbert Hepping, Chief Information Security Officer (Ciso), liep Saxion geen risico op bijvoorbeeld een aanval met gijzel-software.

Hepping kreeg afgelopen donderdag bericht vanuit het Digital Trust Centre  van ministerie  van Economische Zaken over het datalek. De politie was namelijk in Europees verband bezig met ‘Operation Endgame’, waarbij verschillende botnets offline zijn gehaald. In Nederland zijn 33 servers uit de lucht gehaald en werd één doorzoeking gedaan.

Eind mei zijn door de internationale opsporingsautoriteiten botnets IcedID, Smokeloader, SystemBC, Pikabot en Bumblebee offline gehaald. Uit de buitgemaakte kwam ook Saxion naar voren. Er bleken 288 inloggegevens gestolen te zijn.

Uiteindelijk bleek het om accounts van twee medewerkers en zo’n 75 studenten te gaan, zegt Hepping. De overige accounts waren niet meer actief. Die waren bijvoorbeeld van afgestudeerde studenten of medewerkers die van Saxion vertrokken zijn. Die accounts kwamen wel naar voren in het politieonderzoek, omdat ze in de gevonden database zaten, waarvan niet bekend is hoe oud die is.

De gestolen inloggegevens van Saxion hebben niet tot schade geleid, zo concludeerde de security-afdeling. “Daar heeft multifactor authentication (MFA) bij geholpen”, zegt hij. Sinds ongeveer twee jaar zijn een email-adres en wachtwoord namelijk niet meer genoeg om in te loggen. Daarvoor is een tweede stap vereist, het invoeren van een steeds afwisselende cijfercombinatie die naar de mobiele telefoon wordt gestuurd.

Geld eisen

De botnets proberen met die logingegevens in systemen te komen, in dit geval van Saxion. Die kunnen dan bijvoorbeeld platgelegd worden, of er wordt gevoelige informatie gestolen, waarna de criminelen geld eisen om de website weer vrij te geven. Daarvoor wordt malware geïnstalleerd, bijvoorbeeld door mensen die op een verkeerde link hebben geklikt. Die malware draait onzichtbaar op de achtergrond en verstuurt inloggegevens naar de botnets.

De autoriteiten schatten in dat er voor honderden miljoenen euro’s aan financiële schade is aangebracht bij overheden en overheidsinstellingen.

Afgelopen donderdag, 12.15 uur, kwam de melding van de gestolen Saxion-emailaccounts bij Hepping binnen. “Ik haalde er meteen onze security specialist bij”, zegt hij. Drie kwartier later, om 13 uur, was de complete groep bij elkaar om de noodzakelijke acties uit te zetten. Later in de middag, 16 uur, waren alle stappen ondernomen.

Welke stappen gezet zijn? Als eerste moesten de risico’s ingeperkt worden, zegt Hepping. “We hebben van alle geïnfecteerde accounts het wachtwoord gereset, zodat er niet meer een poging tot inlog gedaan kon worden. Daarna keken we of we vreemde gedragingen in het systeem zagen. Dat bleek niet het geval.”

Vervolgens zijn de betreffende medewerkers en studenten rechtstreeks geïnformeerd via hun privé-mail. De laptops van de medewerkers zijn opnieuw geïnstalleerd. “Daarmee hebben we de eventuele malware op die computer verwijderd”, aldus Hepping.

Bij de studenten kon dat niet, omdat die op hun eigen laptop werken. “We hebben in de mail naar hun privéadres gewezen op de mogelijkheden om een scan te doen en de malware te verwijderen”, aldus Hepping. “Ook hebben we aangeboden om dat door de IT-Servicedesk te laten doen.” Navraag leert dat geen van de studenten dat laatste heeft gedaan.

Check je hack

Op de site Check je hack van de politie kunnen mensen controleren of ze getroffen zijn door, of deel uitmaken van, een aantal ontmantelde botnets. De geïnstalleerde malware die onzichtbaar op de achtergrond draait kan verwijderd worden met een virusscanner of een speciaal anti-malware programma. 

rik

Rik Visschedijk

Gerelateerde artikelen

Vrouwe Justitia|Bachelor HBO-Rechten Saxion

Hoogbegaafde student jaar later opnieuw tegenover examencommissie over beoordeling: “Vertrouwen is helemaal weg”

Een jaar nadat hij schikte met zijn examencommissie stond een hoogbegaafde student werktuigbouwkunde opnieuw voor het College van Beroep voor de Examens (Cobex). Hij vindt het onterecht dat zijn afstudeerverslag (opnieuw) werd afgekeurd. Zijn ouders uitten forse kritiek tijdens de zitting. “Dit is de slager die zijn eigen vlees blijft keuren.”

Maerhaba Yishake (42) haalde onlangs haar zwemdiploma’s; “Wil iedereen in het gezin eruit kunnen zwemmen”

Ze groeide op in Ürümqi in het noordwesten van China, de miljoenenstad die volgens Maerhaba Yishake het verst van een zee of oceaan verwijderd. Daar was het helemaal niet gewoon om als kind op zwemles te gaan. Maar hier, in Enschede, is het dat wel. Haar kinderen van 7 en 11 jaar oud haalden al een poos geleden hun diploma’s tot en met C. Gevolgd door 42-jarige moeder, die onlangs haar C diploma behaalde. “Als ik ook maar één iemand kan inspireren om te leren zwemmen, dan ben ik al blij.”

Toetsing van hbo-onderzoek moet geen nattevingerwerk zijn vindt Sarah Coombs; ze promoveerde op onderzoek van hogescholen

Welk nut? Welke kwaliteit? En: welke impact heeft onderzoek van hogescholen eigenlijk? Is dat überhaupt te meten of op een andere wijze zichtbaar te maken? Zoals bijvoorbeeld bij universitair onderzoek gebeurt? Sarah Coombs (45) is onderzoeksadviseur op Saxion en vroeg het zich al langer af: hoe toetsen hbo-onderzoekers of hun onderzoek effect heeft. Ze promoveerde via Saxion en Universiteit Leiden op hoe je de impact van onderzoek aan hogescholen zichtbaar kunt maken.