Universiteit Leiden gehackt

Hackers hebben op de universiteit in Leiden accountgegevens van medewerkers, huisadressen en beschrijvingen van onderzoek buitgemaakt. Criminelen dreigen met online publicatie van de gestolen gegevens als de universiteit niet betaalt. Dat bevestigt Leiden University na onderzoek van het Algemeen Dagblad.
De criminelen eisen zestien bitcoin (omgerekend is dat op dit moment zo’n 450.000 euro), maar de universiteit betaalt niets. Volgens de instelling waren het waarschijnlijk Russische hackers die een server binnendrongen. “Er is activiteit vanaf Russische IP-adressen in de logs waargenomen.” Daarna zou de gestolen informatie vermoedelijk zijn ‘doorgespeeld of verkocht aan de Iraanse Arvin Club’.
Op de website van die club, op het darkweb, is te zien dat de data afkomstig zijn van het vermaarde universiteitsobservatorium en zijn medewerkers. De criminelen tonen sinds enkele dagen afbeeldingen van huis- en mailadressen van Leidse onderzoekers en collega’s van onder meer de Amerikaanse universiteiten Harvard en Berkeley. Door te dreigen met publicatie van meer gegevens wordt de universiteit onder druk gezet. Volgens een woordvoerster zijn er enkele tientallen huisadressen gestolen en vele tientallen e-mailadressen.

Via brieven druk uitoefenen
Volgens de universiteit liggen er géén ‘geboortedata of andere identificerende gegevens’ op straat. Daardoor zou het risico op identiteitsfraude klein zijn. Wel zouden de contactgegevens volgens de woordvoerster gebruikt kunnen worden ‘om via brieven druk op de universiteit uit te oefenen om te betalen’. Tot dusverre is dat niet gebeurd. Het zou ook een zeldzame actie zijn.
De ‘metadata over onderzoek’, die de criminelen gestolen hebben, zijn niet geheim. Volgens de zegsvrouw gaat het om openbare beschrijvingen van onderzoek.
Momenteel is er ook een wereldwijde hack gaande met gijzelsoftware, waardoor zeker tweehonderd bedrijven zijn getroffen. Het is onduidelijk of de aanval op de Leidse universiteit ook het gevolg is van de grootschalige cyberaanval die nog gaande is. Maar die kans lijkt klein aangezien de digitale inbraak in Leiden minimaal vijf dagen en waarschijnlijk langer geleden is.

Server was onvoldoende beveiligd
Alle gestolen data hebben betrekking op het universiteitsobservatorium, de oudste nog bestaande universitaire sterrenwacht ter wereld. Volgens de universiteit stonden de gegevens op een ‘webserver voor de samenwerking tussen onderzoekers’. Die server zou los staan van de universitaire omgeving. “De server was onvoldoende beveiligd,” geeft de universiteit toe. Saillant is dat dezelfde server zes maanden geleden ook al werd gehackt. De universiteit geeft toe dat dit aanleiding is ‘om het anders in te richten en alleen de openbare gegevens vanaf internet bereikbaar te maken’.

Niet in de publiciteit
De eerste hack kwam niet in de publiciteit, maar de universiteit zegt wel melding gedaan te hebben bij de Autoriteit Persoonsgegevens (AP), zoals verplicht is. Ook het nieuwe incident wordt daar gemeld. De betrokken onderzoekers zijn geïnformeerd en wachtwoorden zijn uit voorzorg gereset. Opvallend genoeg schroefde Leiden University de beveiliging van computersystemen een jaar geleden nog op, naar aanleiding van een cyberaanval op de universiteit in Maastricht.
De Perzische teksten op de website van Arvin Club doen vermoeden dat het inderdaad een Iraanse groep is, zoals de universiteit veronderstelt. Van Iraanse hackers is bekend dat ze soms in opdracht van hun overheid kennis stelen. Eerder bleek uit onderzoek van consultancybureau PricewaterhouseCoopers (PwC) al dat minstens drie Nederlandse universiteiten én een hbo-instelling door Iraanse overheidshackers waren gehackt. Bij de incidenten op de Leidse universiteit lijkt echter geldelijk gewin vooralsnog het enige motief.
Een van de criminelen van de groep laat desgevraagd aan deze krant weten dat hij bij de universiteit een zogenoemde ‘SQL-bug’ meldde, maar dat de universiteit daar niets aan deed. Op aanvullende vragen reageerde Arvin Club vooralsnog niet.

Handelen in data van hackers
Volgens een expert cyberdreiging van PwC is Arvin Club een ‘onbeduidende naam in de cybercrimewereld’. “Het lijkt erop dat de groep zelf niet direct betrokken is bij hacks maar vooral probeert te handelen in data die ze via hackers bij elkaar weet te schrapen en tweedehands info aanbiedt die al online staat.” De meest interessante vraag is welke groep of groepen de twee digitale inbraken bij de Leidse universiteit hebben gepleegd. Dat blijft onduidelijk.
De universiteit zelf zegt dat in elk geval geen sprake is van ransomware, zoals in december 2019 bij de universiteit van Maastricht. Daarbij worden computersystemen door criminelen versleuteld en krijgt de eigenaar pas weer toegang als hij losgeld (ransom) betaalt. In Leiden is dat niet aan de orde en functioneert alles naar behoren.

Ransomware maakt opmars
Ransomware maakt wereldwijd een flinke opmars. Ook Nederlandse bedrijven worden geraakt. Deze week nog werd De Mandemakers Groep (DMG) getroffen door ransomware. Criminelen ontnamen het bedrijf de toegang tot haar eigen systemen en legden daarmee op slag een groot deel van de bedrijfsprocessen stil. Eerder deze week waarschuwde de Nationale Coördinator Terrorismebestrijding en Veiligheid (NCTV) nog voor de grote impact die ransomware kan hebben. Ook belangrijke infrastructuur in ons land kan erdoor geraakt worden, luidde de alarmerende boodschap.

Bron: Algemeen Dagblad