8 december 2020

Melding datalekken oktober en november

In de maanden oktober en november hebben er drie losstaande incidenten plaatsgevonden. Een onbevoegde heeft tijdelijk toegang gehad tot een account van een medewerker of student van de Universiteit Utrecht. Als gevolg hiervan hadden onbevoegden mogelijk toegang tot jouw persoonsgegevens. Hierdoor is er sprake geweest van drie datalekken. Deze datalekken zijn gemeld bij de Autoriteit Persoonsgegevens.

Dit bericht is een betrokkenenmelding om jou in te lichten. Hieronder wordt per datalek verteld worden wat er gebeurd is, waarna de mogelijke gevolgen duidelijk worden gemaakt.

Wij werden geïnformeerd door ACS Publications, een partij die voor ons online bibliotheektoegangen beheert. Het account van een student was geblokkeerd door overmatig verkeer uit verschillende landen. Dit betekent dat de inloggegevens van de student bij onbevoegden bekend waren. Onbevoegden hebben mogelijk kunnen inloggen op de mailbox van de student. Het is onwaarschijnlijk dat dit daadwerkelijk is gebeurd, want wij hebben hier geen tekenen van opgevangen.

Het wachtwoord van de student is op 9 oktober gereset, 36 uur nadat het overmatige verkeer was begonnen en 18 uur nadat ACS Publications de Universiteit Utrecht hierover heeft ingelicht. Hierdoor hadden de onbevoegden geen toegang meer tot het account van de student. Het overmatige verkeer is hiermee ook beëindigd.

Vanuit het account van een UU-medewerker werd spam verstuurd. Deze spam werd ook verstuurd naar andere adressen binnen de Universiteit Utrecht. Dit deed de medewerker niet zelf, waardoor geconcludeerd moest worden dat een onbevoegde toegang had tot het account van de medewerker.

Het Computer Emergency Response Team (CERT) heeft het wachtwoord van de medewerker op 15 oktober gereset. Daarna is er geen spam meer verstuurd vanuit de betreffende mailbox.

Meerdere medewerkers van de Universiteit Utrecht ontvingen een phishingmail met daarin een nep uitnodiging voor een Zoom meeting. De phishingmails maakten deel uit van een wereldwijde phishingactie en waren niet specifiek op de Universiteit Utrecht gericht.

Bij het accepteren van de uitnodiging werd om Solis-inloggegevens gevraagd. Bij ons is bekend dat in ieder geval één medewerker zijn of haar inloggegevens heeft ingevuld., waardoor onbevoegden toegang hadden tot het account van de medewerker. Het wachtwoord van de medewerker is binnen een uur gewijzigd. Hierna hadden de onbevoegden geen toegang meer tot het account van de medewerker.

In reactie op deze phishing zijn al deze uitnodigingsmails verwijderd uit de mailboxen binnen de Universiteit Utrecht. Ook werden nieuwe mails die bij deze phishing hoorden verwijderd.

Op 24 november werden nog twee andere UU-mailadressen op een lijst van geslaagde Zoom phishing slachtoffers aangetroffen. De wachtwoorden van deze medewerkers zijn direct gewijzigd. Er zijn in deze accounts géén verdachte inlog-pogingen- vastgesteld.

Bij de bovenstaande datalekken zijn er inloggegevens in handen van onbevoegden gekomen en hadden deze onbevoegden toegang tot systemen van de Universiteit Utrecht die niet door middel van twee-factor-authenticatie beveiligd zijn. De belangrijkste hiervan is de mailbox. Tot systemen die beveiligd zijn met twee-factor-authenticatie hadden de onbevoegden geen toegang.

Het is dus mogelijk dat de aanwezige correspondentie in de getroffen mailboxen, met de daarbij horende persoonsgegevens, zijn ingezien. Dit betekent dat onbevoegden de mogelijkheid hebben gehad om misbruik maken of hebben gemaakt van de in de mailboxen aanwezige persoonsgegevens.

Daarnaast hadden de onbevoegden ook toegang tot het Outlook-adressenboek van Universiteit Utrecht. Hierin staan de naam, rol, faculteit of onderdeel, e-mail adres en Solis-id van elke student en medewerker van de Universiteit Utrecht.

Jouw naam en e-mailadres zijn mogelijk ingezien door onbevoegden, waardoor er een kans bestaat op verhoogde blootstelling aan spam. Hier hebben we echter geen indicatie van ontvangen. Ook bestaat er naar aanleiding van deze datalekken een verhoogde kans op phishingpogingen. Wees daar altijd alert op.

Het is ook mogelijk dat onbevoegden kennis hebben genomen van eventuele persoonlijke correspondentie die je hebt gehad met de getroffen accounts. Op wat voor manier deze gegevens misbruikt zouden kunnen worden, is afhankelijk van de aard van deze gegevens. We hebben geen meldingen van misbruik ontvangen.

Wees alert op phishing. Lees de tips en adviezen hierover. Meld ook elk verdacht mailtje aan cert@uu.nl.

Maak ook waar mogelijk gebruik van twee-factor-authenticatie (2FA) om je account extra te beveiligen.

Indien je naar aanleiding van dit bericht nog onbeantwoorde vragen of een klacht hebt over deze datalekken, neem dan contact op met de onafhankelijke functionaris voor gegevensbescherming van de Universiteit Utrecht, R.A. Jacquet. Hij is per e-mail te bereiken via fg@uu.nl, en telefonisch op 030-253 1977.

Het staat je ook altijd vrij een klacht in te dienen bij de nationale toezichthouder, de Autoriteit Persoonsgegevens, gratis te bellen op 088-1805 250.

We betreuren het ongemak dat dit incident mogelijk voor je veroorzaakt ten zeerste.