Meer UvA-medewerkers getroffen door Odido-hack dan eerder gedacht
Bij de grootschalige cyberaanval op telecomprovider Odido zijn de gegevens van meer UvA-medewerkers buitgemaakt dan tot nu toe werd aangenomen. Waar de universiteit eerder uitging van een beperkte groep van veertig getroffen medewerkers, blijkt het lek waarschijnlijk gegevens van honderden werknemers te omvatten.
De omvang van de hack bij telecomprovider Odido lijkt voor de UvA groter dan aanvankelijk gedacht. Toen vorige maand bekend werd dat de hackersgroep Shinyhunters de gegevens van ruim 6 miljoen klanten van het telefoniebedrijf had weten te bemachtigen, liet de universiteit via het medewerkersportaal weten dat de impact voor UvA-medewerkers beperkt was. De gegevens van medewerkers met een zakelijk telefoonabonnement zouden niet getroffen zijn, schreef de UvA in een mededeling: ‘Wel raakt het een beperkte groep van circa veertig contactpersonen die toegang heeft tot de zakelijke portal van Odido’.
Voor dit artikel controleerde Folia steekproefsgewijs 1.500 verschillende @uva.nl-mailadressen via de openbaar toegankelijke websites haveibeenpwned.com en datagelekt.nl. Van deze 1.500 accounts bleken er 82 voor te komen in de gelekte Odido-database.
Folia heeft geen inzicht in, of toegang gehad tot, de overige persoonsgegevens van deze medewerkers.
Het lijkt er echter op dat er gegevens van meer UvA-medewerkers en -bestuurders op straat liggen door de hack. Folia controleerde via openbaar toegankelijke tools een steekproef van 1.500 @uva.nl-adressen op aanwezigheid in de gelekte database, die inmiddels volledig door de hackers is vrijgegeven. Daarvan kwamen 82 adressen – ruim vijf procent van de steekproef – voor in het lek. Als dat percentage representatief is voor de ruim 6.000 UvA-medewerkers, zouden in totaal gegevens van zeker honderden medewerkers in de database staan. Mogelijk gaat het om medewerkers met een privé-abonnement bij Odido dat aan hun zakelijke mailadres is gekoppeld.
Risico op phishing
Dat @uva.nl-mailadressen in het lek voorkomen, is op zichzelf niet problematisch; deze mails zijn al openbaar vindbaar via de website van de universiteit. Zorgwekkender is de combinatie met andere data. Bij de Odido-hack zijn naast e-mailadressen ook telefoonnummers, woonadressen, geboortedata, bankrekeningnummers en soms zelfs identiteitsdocumenten buitgemaakt. Het is niet duidelijk welke specifieke data per UvA-medewerker is gelekt.
Cybercriminelen gebruiken dit soort gecombineerde datalijsten regelmatig voor phishing. Met kloppende persoonlijke gegevens kunnen ze overtuigende berichten sturen uit naam van banken of overheidsinstanties. In combinatie met een werkmailadres ontstaat bovendien het risico op spear phishing: sterk gepersonaliseerde aanvallen die medewerkers misleiden door zich bijvoorbeeld voor te doen als de UvA. De UvA waarschuwde medewerkers met een privé-account bij Odido eerder al om extra alert te zijn op phishingmails.
Medewerkers informeren
Een woordvoerder van de UvA laat weten dat de universiteit voor officiële cijfers afhankelijk is van de informatie die Odido deelt. De telecomprovider onderzoekt de situatie nog en heeft tot op heden geen hogere aantallen aan de UvA gemeld; daar wordt deze week een formele update over verwacht. Vanwege de signalen dat de omvang van het lek mogelijk groter is dan eerder gedacht, heeft de ICT-afdeling vrijdag een update geplaatst op de medewerkerswebsite waarin medewerkers gewaarschuwd worden om extra alert te zijn op verdachte e-mails, sms-berichten of telefoontjes.
Via haveibeenpwned.com en datagelekt.nl kan je ook je eigen mailadres checken op aanwezigheid in het datalek. De politie heeft hier ook een checkfunctie voor.
