Datalek Erasmus Universiteit omvatte medische en financiële gegevens

Het datalek van de Erasmus Universiteit, dat onlangs werd vastgesteld, blijkt medische en financiële gegevens van studenten te omvatten. In eerste instantie was er alleen sprake van adresgegevens die aanwezig waren in webformulieren.

ErasmusIn totaal gaat het om 270.000 webformulieren op een webserver, schrijft de NOS. Daarvan bevatten 4700 exemplaren informatie over de gezondheid van studenten, zo weet de onderwijsinstelling aan de site te melden. Bijvoorbeeld over de aanwezigheid van tentamenvrees, allergieën en dyslexie. Studenten vulden deze gegevens bijvoorbeeld in bij contact met de studentenpsycholoog.

De financiële gegevens betreffen bankrekening- en creditcardnummers zonder pin of beveiligingscode. Het staat niet vast dat de gegevens zijn uitgelekt, maar de universiteit kan dit niet uitsluiten, aldus een woordvoerder. Het datalek treft in totaal 17.000 personen. Bij 9900 personen was de nationaliteit vermeld en bij 5600 personen waren de financiële gegevens in te zien. In 3350 gevallen bleken de formulieren paspoortnummers en bsn's te bevatten.

Zoals eerder al was vermeld, waren er geen wachtwoorden toegankelijk. Er is nog geen duidelijkheid over hoe het datalek precies is ontstaan. De NOS schrijft op basis van informatie van de universiteit dat er 'op een van de webservers een achterdeurtje is aangetroffen, waarmee hackers gegevens van de server konden halen'.

Door Sander van Voorst

Nieuwsredacteur

Feedback • 18-11-2016 18:38 45

18-11-2016 • 18:38

45

Lees meer

Gestolen laptop veroorzaakt mogelijk datalek bij verschillende gemeenten
Gestolen laptop veroorzaakt mogelijk datalek bij verschillende gemeenten Nieuws van 5 december 2016
Europol-gegevens over terrorismeonderzoeken waren via internet toegankelijk
Europol-gegevens over terrorismeonderzoeken waren via internet toegankelijk Nieuws van 30 november 2016
'Gegevens 380.000 gebruikers van pornosite zijn verkrijgbaar op internet'
'Gegevens 380.000 gebruikers van pornosite zijn verkrijgbaar op internet' Nieuws van 29 november 2016
Hackers maken mogelijk adresgegevens Erasmus Universiteit buit
Hackers maken mogelijk adresgegevens Erasmus Universiteit buit Nieuws van 10 november 2016
Meer producten en artikelen
Privacy Netwerk en systeembeheer Datalek

Reacties (45)

-Moderatie-faq
45
43
16
2
0
8
Wijzig sortering

Sorteer op:

Weergave:
andMax 18 november 2016 18:45
Voor de Erasmus studenten die hier meer over willen lezen, op https://www.eur.nl/security/ kun je meer over de hack vinden. Daarnaast heeft de EUR een Q&A opgesteld die constant geüpdatet wordt: https://www.eur.nl/security/vragen_antwoorden/
icratox 18 november 2016 19:00
- zie latere post

[Reactie gewijzigd door icratox op 23 juli 2024 01:08]

Jeoh @icratox18 november 2016 19:42
Creditcardnummers mag je niet eens onversleuteld opslaan, volgens PCI DSS: https://en.wikipedia.org/...ity_Standard#Requirements
Zarc.oh @Jeoh18 november 2016 21:02
Niet verstandig inderdaad, maar de Erasmus Universiteit zit toch niet in de payment card industry? :P
Jeoh @Zarc.oh18 november 2016 22:43
Ze verwerken creditcards, dus...
Zarc.oh @Jeoh19 november 2016 11:37
Oh duh :)
antisceptic @icratox18 november 2016 20:41
"Vind het toch erg kwalijk dat er zulke gegevens buitgemaakt zijn",
Ter info: Er is -blijkens het artikel en de Q&A- nog niet bekend of er gegevens zijn buitgemaakt.
icratox @antisceptic18 november 2016 20:57
Nee, misschien niet, maar dat die info überhaupt al te bereiken was op deze manier is al erg genoeg. Het was dus wel degelijk mogelijk. Of er nog info daadwerkelijk buitgemaakt is moet idd nog blijken.

[Reactie gewijzigd door icratox op 23 juli 2024 01:08]

antisceptic @icratox18 november 2016 21:40
(zinloze aanvulling verwijderd)

[Reactie gewijzigd door antisceptic op 23 juli 2024 01:08]

icratox @antisceptic18 november 2016 21:42
Correct - heb het bij de latere post gelaten nu (originele 'verwijderd' :) )
antisceptic 18 november 2016 21:45
Het artikel heeft het over een data-lek. Nu denk ik bij een lek altijd dat er ook echt iets uit moet lekken. Anders is het meer een "gat". Hier is er misschien gelekt, maar misschien ook niet. Zou het niet beter zijn om dit een "mogelijk data-lek" te noemen. Of misschien nog beter: "een hack", want dat weten we tenminste zeker. Is de kop zoals die nu is "Datalek Erasmus Universiteit omvatte medische en financiële gegevens" eigenlijk niet gewoon stemmingmakerij? Wat vinden jullie?
Verwijderd @antisceptic18 november 2016 22:41
sterker: er is geen enkele indicatie dat er data is benaderd, maar 'niet uit kunnen sluiten' betekent sinds de introductie van de meldplicht datalekken in Nederland dat je de mogelijkheid aan alle betrokkenen moet melden.
Omdat dit nu ook tot in detail gebeurt levert het aardige nieuwsberichten op en dan doet "mogelijk datalek" het niet zo lekker.

Natuurlijk, 270.000 formulieren... daar had zeker het nodige voorkomen kunnen worden.
Patrick_st @antisceptic18 november 2016 22:55
Ik ga er vanuit dat als je een lek meldt, er ook echt data gelekt is.
De melding dat het niet zeker is, lijkt me puur damage control.

Als het niet zeker is dat er data gelekt is, dan maak je geen melding. Dat kan in mijn ogen alleen maar negatief uitpakken.
antisceptic @Patrick_st19 november 2016 00:59
Gezien de uitleg van lptp lijkt je veronderstelling onjuist; kennelijk moet je melden, ook al heb je geen idee of er werkelijk is gelekt. Wel bizar, "Agent: ik wil aangifte doen, mijn deur was 10 minuten niet op slot en er kan dus diefstal gepleegd zijn!"

Maar goed, het wetsvoorstel is wel te begrijpen gelet op de kans dat er gedupeerden zijn. En die beoogt de wet dan te beschermen.

[Reactie gewijzigd door antisceptic op 23 juli 2024 01:08]

bwerg @antisceptic19 november 2016 10:17
"Agent: ik wil aangifte doen, mijn deur was 10 minuten niet op slot en er kan dus diefstal gepleegd zijn!"
Hou alsjeblieft op met vergelijkingen die de plank compleet misslaan. In een huis rammelen inbrekers niet elke 5 minuten aan de voordeur omdat diegene daarvoor fysiek langs moet gaan, en het valt op als iemand massaal aan deuren rammelt. Als een botnet in china massaal bekende bugs probeert te misbruiken is dat allemaal niet het geval.
wiseger @antisceptic20 november 2016 03:16
@antisceptic

Rare vergelijking, je spullen thuis zijn van jou en als jij de deur niet op slot doet, is dat jouw verantwoordelijkheid.

Als jij echter een alarmleverancier bent en je beveiligd de gegevens en de pincodes van je klanten niet, dan breng je je klanten in gevaar. Zij denken dat ze veilig zijn, immers ze hebben een alarm, maar als bendes die gegevens in handen konden krijgen, is de schade niet te overzien. Als je dan beroofd wordt, weet je niet of de overvallers gebruik gemaakt hebben van de onbeveiligde gegevens of dat ze op een andere manier je alarm hebben omzeilt.

Hier is dat met de Erasmus universiteit net zo. Als iemand creditcard geplunderd wordt weet het slachtoffer niet of het de schuld is van de universiteit of niet. Pas als de daders gepakt worden, weet je of ze die gegevens buit hebben gemaakt of niet.
dsdevries @antisceptic19 november 2016 09:55
Die vergelijking gaat helemaal mank. Het is eerder:
conciërge aan bewoner: "Ik heb gezien dat er 10 min lang iemand in je huis is geweest. Ik heb geen idee of er daadwerkelijk dingen gestolen zijn, maar ik heb wel alvast de politie gebeld."
itcouldbeanyone 18 november 2016 19:11
maar zijn deze gegevens ook daadwerkelijk al verspreid ?
of gata het om een ondekte lek die hoogstwaarschijnlijk nog niet misbruikt is
wiseger @itcouldbeanyone20 november 2016 03:22
Dat weet je niet. Je weet het pas nadat iemand slachtoffer wordt van bijvoorbeeld creditcard fraude en de dader gepakt wordt. Als die bekend en aangeeft de gestolen gegevens te hebben gebruikt, pas dan weet je het.

Dat er dagelijks gebruik gemaakt wordt van gestolen data voor financieel gewin, dat weten we wel zeker. Dat er veel slachtoffers gemaakt worden, dat weten we ook zeker. Maar welke gestolen data nou precies gebruikt is, dat weten we zelden zeker.
Proditor @itcouldbeanyone18 november 2016 22:25
Dat laatste
MartijnMassen 18 november 2016 19:41
Zo zie je maar weer dat het geen technische universiteit is :+

Maargoed, ik zit zelf ook bij het Erasmus sinds kort en vind het vervelend dat ook mijn data dus gestolen is. Ik denk dat de gegevens verder niet echt relevant zijn in mijn geval, maar het idee is nooit fijn. Hopelijk worden dit soort problemen (of fouten?) voorkomen in de toekomst, zowel bij het Erasmus als alle andere universiteiten en scholen.

[Reactie gewijzigd door MartijnMassen op 23 juli 2024 01:08]

Henryht @MartijnMassen18 november 2016 21:21
Interesting. Ik vond juist dat Erasmus het heel goed deed wat awareness voor computerveiligheid betreft. Met fancy interne PR dingetjes als "Treat your passwords like your underwear - Change them often and don't share them". Dit terwijl ik wel vond dat bepaalde dingen op de EUR site toch net niet lekker werkten. Wat dat betreft doet de TU Delft het aanzienlijk beter ;)
wiseger @Henryht20 november 2016 03:19
@Henryht

Tja PR info is niet duur, dus advies geven kost ze weinig geld. Computernetwerk beveiliging is erg duur. Veel bedrijven en instellingen vinden dat zonde van hun geld en schromen niet om risico's te nemen, uiteindelijk zijn zij het slachtoffer niet als de gegevens misbruikt worden.

Vandaar wetgeving noodzakelijk is, instellingen die beveiliging niet serieus nemen dienen gewoon zwaar gestraft te worden zodat ze genoeg financiële prikkel hebben om hun beveiliging in orde te maken.
FrankoNL @MartijnMassen18 november 2016 20:53
Ook ik zit op de Erasmus. Er staat echter toch nergens dat de data van alle studenten gestolen is? Of ben ik nu abuis? :)
MartijnMassen @FrankoNL18 november 2016 22:59
Je hebt gelijk, mijn verontschuldigingen voor de slordige verwoording. Er zou moeten staan "dat ook mijn data gestolen zou kunnen zijn".
Afijn, dat ik achttien ben en dat ik in Rotterdam woon zou je zelfs op Tweakers wel kunnen vinden, dus wat ze met mijn gegevens zouden kunnen vraag ik me sterk af :).
FrankoNL @MartijnMassen18 november 2016 23:28
mwjaa de adresgegevens is nog tot daaraan toe. Maar van een groep mensen zijn er ook rekeningnummers en creditcard gegevens mogelijk buitgemaakt. Dat is wat minder fijn :)
MartijnMassen @FrankoNL19 november 2016 10:30
Dat zijn gegevens die ik inderdaad minder graag kwijt raak, maar het scheelt dat ik geen creditcard heb :p. Als ik een chinees geld van mijn rekening af zie halen zal ik ook zeker niet twijfelen en Rabobank eens even om uitleg vragen haha.
Verwijderd 18 november 2016 19:14
Lijkt me toch dat zo'n universiteit (zeker met die knappe koppen daar) goed beveiligd is?

Het zal jou maar gebeuren.
ErikRo 19 november 2016 00:19
Hopelijk biet gelekt anders wens ik degenen met concentratie problemen en andere psychische kwaaltjes veel succes met solliciteren tijdens hun leven. Ik kan er uit vijf kiezen maar heb er één nodig wiel valt er af...
Verwijderd @ErikRo19 november 2016 09:46
En vergeet verzekeringen niet. Die mogen qua aannamebeleid en het vaststellen van de hoogte van de premie, en de uitsluitingen voor hen beschikbare informatie gebruiken. En reken maar dat er daarmee op het vage wettelijke randje wordt gespeeld.
Verwijderd @Verwijderd19 november 2016 15:33
En reken maar dat er daarmee op het vage wettelijke randje wordt gespeeld.
Bron? Wie beschuldigt, bewijst.
Verwijderd @Verwijderd19 november 2016 22:40
Sommige dingen zijn een principe, waar door het geheime karakter geen bron voor is behalve je eigen verstand. Als jij het omgekeerde vermoedt, zie ik daar graag een bron van.
connect2mich 20 november 2016 11:53
*nodigt Erasmus universiteit uit voor commentaar op deze privacy kwestie*

Want zet de beste hacker met een computer/server neer en ieder bedrijf wordt gehackt. De vraag die bij mij opkomt is: Is dit een gevolg van transparantie van Erasmus of weer een mogelijkheid om het nieuws te halen met creditcardfraude die al 49 jaar zo lek is als een mandje.
FrankoNL 18 november 2016 19:05
Zou wel ironisch zijn als straks blijkt dat er fouten zijn gemaakt in de beveiliging en de eigen rechten-studenten de Universiteit aansprakelijk stellen.
Verwijderd @FrankoNL18 november 2016 19:11
Wat is daar ironisch aan?
FrankoNL @Verwijderd18 november 2016 19:19
Nou, de mensen "opleiden" tot jurist en dan door diezelfde toekomstige juristen aansprakelijk gesteld worden. Dat is toch best ironisch.
SB[NL] @SBTweaker18 november 2016 22:39
Mwah, dat is een van de mogelijkheden.
Een antivirus programma dat zichzelf "onschadelijk" maakt valt daar ook gewoon onder.

In deze context snap ik best dat hij dat ironisch vindt :)

Iemand die anderen leert stoppen met een drankverslaving maar zelf zo verslaafd is al een schotse whisky mug...

[Reactie gewijzigd door SB[NL] op 23 juli 2024 01:08]

SBTweaker @SB[NL]19 november 2016 00:13
Dat is niet de definitie die ik ken, kun je een link geven naar een website die dat als definitie van ironie geeft?
SB[NL] @SBTweaker19 november 2016 10:59
Als ik Neerlandicus was, dan zou ik net als jij ook geen Google gebruiken :D

edit: Nee zoek zelf maar :D

[Reactie gewijzigd door SB[NL] op 23 juli 2024 01:08]

SBTweaker @SB[NL]19 november 2016 12:06
Serieus, je definitie strookt niet met die uit het woordenboek en elke definitie op de eerste pagina van Google. Ik ga er maar van uit dat je aan het trollen

Hier zijn de bestaande vormen van ironie.

Ironie gebruikt verschillende uitingsvormen:

De omkering, de vorm waarbij precies het tegengestelde gezegd wordt van wat men bedoelt.
Dat is me een lieve jongen.
Nou, het is me wat moois.
De overdrijving, ook wel hyperbool genaamd, het met opzet vergroten van dingen waardoor het in het bespottelijke wordt gedreven.
Over dat klusje deed hij een eeuwigheid.
Het duurt jaren om dat op te lossen!
Het understatement, het tegenovergestelde van de overdrijving, het verzwakken van een mededeling. Echter, door de verzachting wordt de mededeling juist kracht bijgezet, dankzij de ironie.
Ik heb niet helemaal begrepen wat u zegt.
We komen maar een klein beetje geld tekort.
Niet-passend woordgebruik, het maken van een onverwachte verschuiving in het woordgebruik. Bijvoorbeeld ineens deftige woorden gebruiken, of juist platvloerse woorden.
Wij ontvingen daar een missive over.

[Reactie gewijzigd door SBTweaker op 23 juli 2024 01:08]

SB[NL] @SBTweaker19 november 2016 12:40
Dit is mijn eerste link < 1sec zoektijd
https://nl.wikipedia.org/wiki/Ironie

Andere vormen van ironie[bewerken]

Behalve in de gesproken en geschreven taal, kunnen ook gebeurtenissen als ironisch worden bestempeld. Dit is met name van toepassing bij scherpe contrasten tussen het feitelijk gebeurde en de verwachting:
  • Een dokter die succesvol kanker geneest, maar zelf sterft aan diezelfde kanker.
  • Uitvinders die sterven door hun eigen uitvindingen.
  • Tijdens de Amerikaanse Burgeroorlog zei generaal John Sedgwick dat de Confederatie nog geen olifant zou kunnen neerschieten, meteen hierna werd hijzelf neergeschoten.
  • Brandweerkazerne afgebrand.
In de Engelse taal wordt deze vorm van irony, gekenmerkt door de spottende humoristische ondertoon, veel gebruikt bij satire.

Genoeg voorgekauwd wat mij betreft :D

edit: Lijstje ging niet goed :)

[Reactie gewijzigd door SB[NL] op 23 juli 2024 01:08]

SBTweaker @SB[NL]19 november 2016 14:18
I stand corrected, ik dacht altijd dat dat onder fout gebruik viel, dat zeiden ze op school, de meeste definities (woordenboek etc) spreken ook niet over die situaties.
FrankoNL @basdej18 november 2016 20:52
Nee dat snap ik ook wel maar ik bedoel "de universiteit" als geheel ;)

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq