Hackers TU/e hadden vijf dagen lang toegang tot IT-systemen

De hackers die begin dit jaar een cyberaanval op de TU Eindhoven hadden uitgevoerd, hadden vijf dagen lang toegang tot de IT-systemen. Dat stelt cybersecuritybedrijf Fox-IT na onderzoek. De kwaadwilligen kregen toegang via een vpn-verbinding en enkele eerder gehackte accounts.

Fox-IT schrijft in zijn verslag dat een of meerdere hackers op 6 januari toegang tot de systemen heeft of hebben gekregen. Deze toegang duurde tot 11 januari. De hacker of hackers maakten gebruik van het vpn-systeem van de TU Eindhoven en drie verschillende gebruikersaccounts die eerder betrokken waren bij een datalek. Twee van de drie accounts werden met succes gebruikt om toegang tot de systemen te krijgen. Bij het derde account bleef een inbraakpoging zonder resultaat. De hackers hadden de inloggegevens vermoedelijk via het dark web bemachtigd, meent Fox-IT. De gebruikers van de accounts zouden hun wachtwoorden niet gewijzigd hebben. Er was via de vpn-verbinding van de universiteit ook geen tweestapsverificatie actief. Die verificatie komt er in de tweede helft van dit jaar.

De hacker of hackers had of hadden vijf dagen lang toegang, maar lieten daarbij geen sporen na. Het is voor Fox-IT echter niet duidelijk of de kwaadwillenden gedurende deze tijd dan ook niet actief waren in de systemen, of dat de acties onopgemerkt zijn gebleven.

Het cybersecuritybedrijf meent dat de Technische Universiteit Eindhoven de kwetsbaarheden inmiddels heeft verholpen. Het bestuur van de universiteit zou snel en effectief gehandeld hebben en zou een voorbeeld zijn wat betreft crisismanagement. Het is nog niet duidelijk wie er achter de cyberaanval zit.

De TU/e kreeg op zaterdag 11 januari te maken met de cyberaanval en haalde de netwerken offline. Onderwijs was een week niet mogelijk. De onderwijsinstelling meldde eerder dat de daders 'op heterdaad' zijn betrapt tijdens het uitvoeren van de hack en dat geen data is gestolen of versleuteld.

Reacties (61)

HKLM_ 19 mei 2025 11:07

De gebruikers van de accounts zouden hun wachtwoorden niet gewijzigd hebben.

In andere media en in het persbericht zelf lees ik dat de gebruikers hun wachtwoord wel gewijzigd hebben maar ze het oude wachtwoord weer hebben ingesteld en dit technisch niet afgevangen is.

De hacker wist toegang te krijgen tot het netwerk van de universiteit door gebruik te maken van eerder gehackte accounts die beschikbaar waren op het darkweb. "Het was eerder bekend dat deze accounts ooit gehackt waren en de TU/e liet de accounthouders dan ook hun wachtwoord veranderen. Maar de accounthouders hergebruikten hun oude wachtwoorden en dat werd niet automatisch tegengehouden",

https://www.nu.nl/tech/63...netwerk-universiteit.html

[Reactie gewijzigd door HKLM_ op 19 mei 2025 11:09]

icecreamfarmer @HKLM_ • 19 mei 2025 11:17

Ik heb ene hekel aan nieuwe wachtwoorden verzinnen maar dit is wel heel dom.

Cebasvdh @icecreamfarmer • 19 mei 2025 11:32

Password managers gebruiken zoals bijvoorbeeld lastpass, Dashlane (gebruik ik zelf) of de ingebakken versie van Apple en dan heb je dit probleem nooit meer.

1 veilig wachtwoord onthouden en het systeem de rest laten bepalen.

gixslayer @Cebasvdh • 19 mei 2025 11:57

Leuk in theorie, maar in de praktijk kom je soms nog wel wat (idiote) hobbels tegen. Als student zelf meegemaakt. Voor digitale tentamens (op campus, niet remote) moest je met je uni account credentials inloggen, maar je mobiel/etc mocht niet mee naar binnen. Je moest je wachtwoord maar uit je hoofd weten. Met veel moeite kon je misschien nog regelen dat je het op een papiertje mocht opschrijven die daarna weer weg moest, maar was niet standaard geaccepteerd.

Met zulke acties kan ik me goed voorstellen dat mensen wachtwoorden terug zetten naar iets dat ze wel onthouden, hoe slecht dan ook van een security perspectief.

Cebasvdh @gixslayer • 19 mei 2025 13:37

Je hebt zeker gelijk, misschien waren ze daar bij de HAN in Nijmegen/Arnhem net wat flexibeler in. Die getallen, letters en tekens random op een blaadje zegt natuurlijk niet zo veel over het onderwerp van je tentamen.

Die_ene_gast @gixslayer • 19 mei 2025 13:47

Hoe 2mfa je dan precies?

gixslayer @Die_ene_gast • 19 mei 2025 16:01

Er staat (nog) niet overal 2FA op. Je kan met dezelfde credentials inloggen voor service X, Y en Z, waar bijvoorbeeld X en Y wel 2FA hebben, maar Z niet. In dit geval was er geen 2FA nodig, maar ik zie wel de trend dat er op steeds meer services wel 2FA wordt verplicht. Wordt soms ook wel redelijk snel erdoorheen gepusht zonder echt goed na te denken wat alle implicaties zijn e.g. omtrent dit soort zaken en automatisering.

In het verleden hadden ze gewoon nog een lijst met tijdelijke credentials die mensen konden gebruiken als ze het zelf niet meer wisten of hun account niet inkwamen. Voor iets als z'n tentamen lijkt me dat toch een prima oplossing voor iedereen; heb je dit hele gedoe niet. Alles moet nu 'cloud' oplossing zijn met de Microsoft crap dus hangen ze liever daar alles aan blijkbaar.

Die_ene_gast @gixslayer • 20 mei 2025 07:59

Ik zou wel oud zijn, digitale tentamens klinken mij nog steeds raar in de oren.
Maar eens dat men mag nadenken over oplossingen.

icecreamfarmer @gixslayer • 19 mei 2025 13:23

Dit dus en het is wachten totdat die password manager gehackt wordt.

dasiro @gixslayer • 19 mei 2025 13:26

de veiligste plek voor een wachtwoord is voorlopig nog steeds je eigen geheugen. Het moet niet moeilijk zijn om te kunnen onthouden.

William_H @gixslayer • 19 mei 2025 14:16

En mensen onderschatten dit verhaal. Daar gaat ook het hele argument van Fido2 hardware keys, want die lijken dan weer teveel op USB-sticks.
Dit verhaal, daar hebben ze bij de uni's echt totaal nog niet over nagedacht. Met name omdat de machines waarop een examen gemaakt wordt vaak kale machines zijn, waarop je dus niks anders kan dan dat examen voltooien. Succes met je door een passwordmanager random generator gemaakt wachtwoord in te typen uit het hoofd.
Daarom dus een wachtwoordzin!

be3a18 @HKLM_ • 19 mei 2025 12:14

Bij mijn oude werkgever (dat is al even geleden) hadden we een wachtwoord policy dat de laatste 10 wachtwoorden niet opnieuw gebruikt mochten worden. Dat klinkt streng maar wat doen gebruikers dan. Als bijvoorbeeld het laatste teken van het wachtwoord een 1 is maken ze daar een 2 van. En de volgende keer een 3. Je kunt het gebruikers zo moeilijk maken als het maar kan maar ze vinden er wel wat op.Dit ging overigens over medewerkers op kantoor en niet om personen die thuis werkten wat in die tijd alleen was voorbehouden aan de systeembeheerders. Ik weet eigenlijk niet meer of we toen al 2FA hadden. Dat kan ik me niet meer herinneren.

CAPSLOCK2000

Beveiliging en antivirus
Hack
Cybercrime

@be3a18 • 19 mei 2025 12:31

Bij mijn oude werkgever (dat is al even geleden) hadden we een wachtwoord policy dat de laatste 10 wachtwoorden niet opnieuw gebruikt mochten worden. Dat klinkt streng maar wat doen gebruikers dan. Als bijvoorbeeld het laatste teken van het wachtwoord een 1 is maken ze daar een 2 van. En de volgende keer een 3. Je kunt het gebruikers zo moeilijk maken als het maar kan maar ze vinden er wel wat op.

Yup, en anders reset je je wachtwoord 10 keer achter elkaar zodat het geheugen vol zit en dan kun je je oude wachtwoord weer weer gebruiken. Technische maatregelen hebben weinig zin tegen medewerkers die actief tegenwerken. Lang voordat je alle mogelijkheden tot misbruik hebt dichtgetimmerd is het al volkomen onmogelijk om nog werk gedaan te krijgen.

FastFred @CAPSLOCK2000 • 19 mei 2025 12:56

Daar is ook gewoon een oplossing voor in Default Domain Policy, de minimum password age. Die staat bij ons op 1 dag, het wachtwoord geheugen staat op 12 stuks. Dus succes de komende 2 weken iedere dag een ander wachtwoord aanmaken en onthouden zodat je uiteindelijk weer hetzelfde wachtwoord hebt

Dennisb1 @FastFred • 19 mei 2025 15:15

Klinkt leuk, soms vergeten gebruikers al direct na het instellen hun nieuwe wachtwoord.
Daar ga je dan...

Ja, dit gebeurt dus serieus...

FastFred @Dennisb1 • 19 mei 2025 15:18

Dan bellen ze de IT helpdesk, wijzigen wij het wachtwoord naar 'vergeten' oid en zetten vinkje aan 'User must change password at next login'

jotheman @Dennisb1 • 19 mei 2025 18:58

Mooi dat we alle pro's en cons hiervoor allemaal zijn aan het bedenken, maar er zijn gewoon standaarden die password policy guidelines geven. Die van NIST zijn het meest gangbaar. Als je die aanhoudt heb je de beste mix/balans van veilig vs gebruiksgemak (los van wat wij er met z'n allen van vinden).

William_H @be3a18 • 19 mei 2025 14:18

Daarom is het regelmatig veranderen van een wachtwoord één grote onzin. Dit is alvaker aangetoond. En dan geen 2FA hebben ingeschakeld hebben...
Vragen om problemen.

FastFred @HKLM_ • 19 mei 2025 12:51

Dat heb ik ook gelezen, vreemd dat het in het artikel verkeerd staat. En wel slecht eigenlijk dat de default password policy dit blijkbaar toestaat.

reinierpost @FastFred • 21 mei 2025 10:24

Dat is niet zo, maar een wachtwoord kan op meer dan een manier gereset worden.

surfmann @HKLM_ • 19 mei 2025 11:19

Dit heb ik ook gelezen in het rapport van Fox-IT inderdaad

banaj @HKLM_ • 19 mei 2025 18:30

In andere media en in het persbericht zelf lees ik dat de gebruikers hun wachtwoord wel gewijzigd hebben maar ze het oude wachtwoord weer hebben ingesteld en dit technisch niet afgevangen is.

't Zijn logs van infostealers. Dus je wijzigt je wachtwoord, de keylogger leest mee en stuurt het naar huis.
Ik ken 0 partijen bescherming tegen gelekte crdentials op orde hebben. Als je die wel wilt, dan moet je met specialistische partijen aan de slag. Overgenomen accounts is denk ik het grootste probleem op dit moment. Supersimpel om binnen te komen.

Zelfs Fox-IT snapt het niet: "highly likely" gelekt op dark web. Weet je het of niet (hint:niet dus)? Deze data is op normaal internet te vinden en gratis te downloaden...

Meg

19 mei 2025 11:04

Dus 6 januari hadden ze al toegang, maar actie werd op de 11e pas ondernomen?

Beetje raar, lijkt mij.

M3m3nt0m0r1 @Meg • 19 mei 2025 11:17

Er mist hier zeer interessante informatie:

Uit onderzoek naar de aanval bleek dat de aanvallers op 6 januari voor het eerst inlogden. Vijf dagen later lukte het de aanvallers om hun rechten te verhogen. Op 12 januari probeerden de aanvallers om de back-upoplossing van de universiteit te stoppen. 25 minuten later haalde de TU Eindhoven het netwerk offline, waarmee ook de aanval werd gestopt. Voordat de aanval werd gestopt beschikte de aanvaller over enterprise administrator-rechten. Sporen van de aanvaller werden op 91 systemen aangetroffen. Op 14 systemen werden 'hands-on-keyboard' activiteiten uitgevoerd, op de overige 77 alleen ingelogd zonder verdere activiteit.

Dit komt vanaf Security.nl
Jammer dat Tweakers juist dit stuk weg heeft gelaten.

Meg

@M3m3nt0m0r1 • 19 mei 2025 11:19

Dit soort details zou ik inderdaad graag hier zien.

sjorsjuhmaniac @M3m3nt0m0r1 • 19 mei 2025 11:51

Thanks! Voor dit soort info las ik Tweakers altijd. Lijkt nu wel bijna een nu.nl artikel. Erg jammer.

FastFred @Meg • 19 mei 2025 12:57

In dit artikel mist best veel en staat ook verkeerde info.

Volledige technische rapport hierrr: https://assets.w3.tue.nl/...mcE1GNUU5d21DaE1wUzJiTExR

mark.waarden @Meg • 19 mei 2025 11:10

Wanner de inbraak aan het licht kwam staat niet in het verhaal vermeld dus het kan goed zijn dat de inbraak pas de 4de dag werd herkent alszijnde inbraak..

BytePhantomX @Meg • 19 mei 2025 11:44

Met dit soort aanvallen heb je soms te maken met meerdere criminele groepen. Groep A breekt in en zorgt voor toegang en die groep verkoopt die toegang op het darkweb. Groep B koopt die toegang, pakt de login op en gaat verder om uiteindelijk ransomware uit te rollen.

Die pauze van een paar dagen is dan te verklaren door de doorlooptijd van de verkoop.

De eerste stap kan heel moeilijk zijn om te detecteren. Zeker als er gelekte credentials worden gebruikt. Voor een netwerk met de omvang van de TU is het heel duur en moeilijk om alle systemen in gaten te houden.

Die_ene_gast @Meg • 19 mei 2025 13:48

Als ik het zo lees, waren het user creds die ze gebruikten. Dus als ze niets geks deden als die users, dan is dat toch niet zo heel raar?

Brummetje

19 mei 2025 11:06

Het bestuur van de universiteit zou snel en effectief gehandeld hebben en zou een voorbeeld zijn wat betreft crisismanagement.

Kan aan mij liggen maar als er 5 dagen over doet dan is dat toch niet snel? Misschien na het constateren maar niet over het gehaal lijkt mij.

De onderwijsinstelling meldde eerder dat de daders 'op heterdaad' zijn betrapt tijdens het uitvoeren van de hack en dat geen data is gestolen of versleuteld.

Daarnaast hebben ze hackers 5 dagen toegang gehad maar niks gestolen? Wat waren ze dan aan het doen, koffie aan het drinken? Lijkt mij echt sterk dat er niks is gejat.

mark.waarden @Brummetje • 19 mei 2025 11:12

Als je een lijntje naar binnen hebt op de server en je denkt dat niemand door heeft dat je in hun systeem zit, waarom dan niet dit laten "slapen" ipv een berg dat ineens wegsluizen. Beter dat je de inbraak laat "slapen" en langzaam gaat kijken en verzamelen van nuttige gegevens.

Neurosis @mark.waarden • 19 mei 2025 11:18

Why not both?

In vergelijking met een fysieke inbraak, kun je van alles een kopie trekken en dat is lastig te achterhalen. Gewoon een paar grote dingen binnen halen en rustig aan blijven rondspeuren.

Yoshi @Neurosis • 19 mei 2025 11:28

alleen, dat is wel degelijk wel detecteerbaar en wordt actief op gescant (indien correct geconfigureerd).
Het is perfect mogelijk, om accounts te achterhalen die plots een grote kopie doen van iets dat ze standaard niet doen.

[Reactie gewijzigd door Yoshi op 19 mei 2025 11:28]

surfmann @Brummetje • 19 mei 2025 11:16

In het rapport staat een tijdlijn en het begon pas zaterdagavond echt uit de hand te lopen waarbij de alarmbellen van SurfSoc en de TUe gingen rinkelen. Toen werd er snel gehandeld om verdere schade te voorkomen.

Het zou best kunnen dat de hackers expres hebben gewacht tot zaterdagavond. In het netwerkverkeer hebben ze in totaal maar 2GB aan verkeer gezien over de verbindingen met de hacker.

In de evaluatie staat ook dat de monitoring uitgebreid moet worden omdat de eerdere signalen niet opgepikt waren, dat is wel een goed leerpunt inderdaad.

Misschien is dat tijdlijn plaatje een mooie toevoeging in dit artikel?

Edit: spelling

[Reactie gewijzigd door surfmann op 19 mei 2025 11:17]

Het.Draakje @Brummetje • 19 mei 2025 11:20

Er zijn fouten gemaakt.
- Dat de hack te lang niet ontdekt werd is uiteraard fout.
- VPN zonder MFA is fout.
- Er waren drie gecomprimeerde accounts (uit een eerdere hack) die hun wachtwoord niet gewijzigd hebben. Dit had gewoon afgedwongen moeten worden. En/of het account verwijderd.

Maar dat staat volledig los van de snelheid en effectiviteit waar het rapport over schrijft. Dat gaat over de periode en genomen maatregelen nadat de hack ontdekt is.

Dus ja, het ligt aan jou

CAPSLOCK2000

Beveiliging en antivirus
Hack
Cybercrime

@Brummetje • 19 mei 2025 11:24

Daarnaast hebben ze hackers 5 dagen toegang gehad maar niks gestolen? Wat waren ze dan aan het doen, koffie aan het drinken? Lijkt mij echt sterk dat er niks is gejat.

Dat ze binnen waren betekent nog niet dat er ook iets te krijgen was met de rechten die ze hadden. Het is niet ongewoon dat aanvallers rustig op zoek gaan naar zwakke punten om zich verder naar binnen te werken, of om de definitieve klap extra hard aan te laten komen. Het doel hoeft namelijk niet eens te zijn om te stelen, blokkeren of gijzelen van systemen of data kan ook.

Dat is zelfs waarschijnlijk(er) want een universiteit is geen juwelier waar je het goud overal kan zien liggen en alles waardevol is en het op iedere zwart markt verkocht kan worden. Bij wetenschappelijk werk is het een stuk lastiger om te bepalen wat waardevol is en daar geschikte klant bij vinden. Het is ook maar de vraag of de aanvaller het doel had om deze universiteit aan te vallen of dat het een toevallig doel is op grond van die uitgelekte accounts.

OruBLMsFrl 19 mei 2025 11:04

Geen MFA op de vpn, dat is wel heel pijnlijk in 2025... en dan voor zo een kennis instelling waar cyberspionage toch overduidelijk risico is

En dan ook

Het bestuur van de universiteit zou snel en effectief gehandeld hebben en zou een voorbeeld zijn wat betreft crisismanagement.

Diezelfde bestuurders welke grofweg alweer vijf jaar na Universiteit Maastricht publiek ging met hun hack, niet zulke basismaatregelen hebben geïnvesteerd met enige prioriteit. Crisis managen kan wel maar normaal heeft de IT afdeling en IT security daar dus maar weinig te vertellen vrees ik dan.

[Reactie gewijzigd door OruBLMsFrl op 19 mei 2025 11:08]

CAPSLOCK2000

Beveiliging en antivirus
Hack
Cybercrime

@OruBLMsFrl • 19 mei 2025 12:06

Geen MFA op de vpn, dat is wel heel pijnlijk in 2025... en dan voor zo een kennis instelling waar cyberspionage toch overduidelijk risico is

Het ligt er een beetje aan hoe dat VPN werkt. Je kan een VPN namelijk ook zien als één van de authenticatie-factoren in een multi-factor authenticatiesysteem, zo heb ik dat vaker gezien in academische omgevingen. Gebruikers van buiten kunnen niet direct inloggen op hun computer of data maar moeten eerst via VPN inloggen. Nadat ze op VPN zijn ingelogd komen alle normale beveiligingsmaatregelen. Zo is VPN een extra stap.

Helaas is VPN zo'n techniek die je op verschillende manieren kan inzetten waardoor de term niet voor iedereen hetzelfde betekent. (Reclames op internet helpen daar niet bij.) Daardoor is gevaarlijke feature creep makkelijk. Een VPN dat bedoeld was als eerste factor wordt dan opeens ingezet als enige factor en geeft direct toegang tot andere systemen. Of iemand bedenkt dat het handiger is als VPN-accounts op dezelfde manier te authtenticeren als de andere systemen zonder te beseffen dat het hebben van gescheiden wachtwoorden deel was van de MFA-strategie.
Ik zie ook dat VPN bijna als synoniem voor MFA of security wordt gebruikt. "applicatie X is veilig want die staat achter VPN". De techneuten weten uiteraard wel hoe het echt zit maar voor wat minder technisch ingestelden is het een soort "silver bullet" voor IT-security. De vraag of het VPN veilig is geconfigureerd en veilig gebruikt wordt komt niet eens in ze op, want VPN staat in hoofd gelijk aan aan veiligheid.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus
Cybercrime

@CAPSLOCK2000 • 20 mei 2025 07:59

Je kan een VPN namelijk ook zien als één van de authenticatie-factoren in een multi-factor authenticatiesysteem, zo heb ik dat vaker gezien in academische omgevingen.

Nee dat kan je niet. Een VPN is een toegangsmethode en een versleutelde tunnel over een onveilig netwerk. Het is geen authenticatiefactor zoals :
- Iets wat je weet
- Iets wat je hebt
- iets wat je bent

Voor de VPN zal je moeten authenticeren, anders is deze voor iedereen van toepassing. Bij die authenticatie gebruik je een authenticatiefactor.

Zo is VPN een extra stap.

Dat klopt echter is die extra stap min of meer een noodzaak wanneer je op een veilige manier toegang wilt over een onveilig netwerk. Het is op zichzelf geen extra stap in een authenticatiesysteem. Sterker nog; de VPN vereist zelf authenticatie.

[Reactie gewijzigd door Bor op 20 mei 2025 13:49]

CAPSLOCK2000

Beveiliging en antivirus
Hack
Cybercrime

@Bor • 20 mei 2025 11:26

Nee dat kan je niet.

Je lijkt weer op zoek naar iets om het mee oneens te zijn. Ik ga dus niet inhoudelijk reageren.

Dat klopt

Daar had je het bij kunnen laten.

swhnld

@OruBLMsFrl • 19 mei 2025 11:26

Wat denk je van dat accounts buitgemaakt waren bij een eerder lek, en niet hun wachtwoord gewijzigd hadden.

Je zou denken dat je als Admin na zo'n lek een verplichte wachtwoordwijziging doordrukt voor iedereen.

Laten we hopen dat ze ervan geleerd hebben, het is immers een universiteit, dus iets leren moeten ze kunnen, en dat het in de toekomst niet meer zo mis kan gaan door slordig gedrag.

M3m3nt0m0r1 19 mei 2025 11:24

Ik vind vijf dagen toegang en dan al actie ondernemen zeer snel. Normaal zitten ze veel langer in een netwerk voordat ze los gaan.
Vorig jaar zaten ze gemiddeld 194 dagen in een netwerk te wroeten. Als een bedrijf threat hunting technieken gebruikt worden ze over het algemeen sneller gevonden. Zou ongeveer een 28 dagen sneller zijn.

Ik vind deze hack eerlijk gezegd vrij amateuristisch. Ze hebben basically alleen een foothold gecreëerd en zijn meteen achter de backups gegaan. Waardoor het alarm afging.
De "echte" grote jongens gaan heel anders te werk.

CAPSLOCK2000

Beveiliging en antivirus
Hack
Cybercrime

@M3m3nt0m0r1 • 19 mei 2025 12:41

Ik vind deze hack eerlijk gezegd vrij amateuristisch. Ze hebben basically alleen een foothold gecreëerd en zijn meteen achter de backups gegaan. Waardoor het alarm afging.
De "echte" grote jongens gaan heel anders te werk.

Mijn ervaring is dat organisaties het moeilijk vinden om gepast te reageren. Heb je te maken met een ongelukje, klein vandalisme, een crimineel netwerk of met een terroristische aanslag? Ga het maar beoordelen als je niet meer wat dan dat iemand vanaf een buitenlands IP op je netwerk heeft ingelogd. (Bij een universiteit zal het ook dagelijks kost zijn dat mensen vanuit de hele wereld inloggen, het is een zeer internationale omgeving).

Als crisismanager kun je haast niet anders dan het maximaal serieus nemen tot je meer informatie hebt en dus moet je de hele boel plat gooien. Dat heeft wel heftige gevolgen maar daar wordt je niet op beoordeeld op het moment dat je de opdracht krijgt om met zo'n situatie om te gaan. Vervolgens moet een externe specialist de boel onderzoeken en adviseren. Die partner zonder context ook niet goed oordelen hoe riskant het allemaal is en ook voor maximale zekerheid gaan. Het kost al snel een paar dagen om informatie te verzamelen, te beoordelen, te vergaderen met alle betrokkenen en uiteindelijk een beslissing te nemen en in de tussentijd kun je niet veel uit angst het probleem groter te maken of bewijs te vernietigen.

M3m3nt0m0r1 @CAPSLOCK2000 • 19 mei 2025 13:34

Ik doel meer op de hackers dan op de TU/E.

metalmania_666

19 mei 2025 11:20

Er is een verschil tussen normaal bestuur en crisis management.
Dat ze de gewone maatregeken niet goed op orde hadden is een feit.

Maar Fox-it heeft het over hoe het crisis management werkte. Dus mitigerende maatregelen heeft genomen en daarna aanbevelingen heeft gedaan.

Ik blijf het ook vreemd vinden dat er geen mfa werd gebruikt, en dat dat pas in de tweede helft komt

CAPSLOCK2000

Beveiliging en antivirus
Hack
Cybercrime

19 mei 2025 11:49

Ik vind het maar moeilijk om dit soort zaken op waarde te schatten en daar /passend/ op te reageren.

Van de ene kant is het best dramatisch dat aanvallers een aantal dagen vrij toegang hebben tot je systemen.
Van de andere kant denk ik dat dit heel vaak gebeurt en zonder dat iemand iets door heeft.

De TUe heeft een hoop zaken technisch prima op orde, zoals je mag verwachten van een technische universiteit. Nederlandse univesiteiten hebben de laatste tijd veel gedaan aan detectie van dit soort incidenten met FoxIT als partner. Het is dan ook geen toeval dat die hier verder onderzoek hebben gedaan. Maar uiteindelijk zal de uni zelf moeten beslissen hoe ze omgaan met de resultaten. Account sluiten en wachtwoord resetten? PC formatteren? Hele netwerk afsluiten? Restore all from backup?

Het is lastig om een goede beslissing te nemen als je eigenlijk niet weet wat zo'n aanvaller gedaan heeft en wat er nog meer mogelijk is. Zelfs als je volledige logs hebt van alle handelingen blijft het lastig om te intepreteren wat de aanvaller kan met de vrijgekomen informatie. Een versienummer kan al genoeg zijn om een kwetsbare applicatie te verraden waarvan je zelf niet weet dat die kwetsbaar is.

Het hele netwerk vijf dagen afsluiten is op zich een prima reactie, in ieder geval vanuit IT-security gezien, maar het is niet iets dat je iedere week kan doen. Niet alleen omdat het veel overlast en hoge kosten veroorzaakt, maar ook omdat het niet veilig is. Mensen kunnen niet zomaar stoppen met werken. Als de systemen van de uni meer dan een dag niet werken dan zullen ze het op een andere manier moeten doen. Bijvoorbeeld met hun privé-computer en wat gratis sites en apps van internet. Daarmee open je een heel nieuw blik met security problemen.
Maar ja, wat is je alternatief? Niemand wil de persoon zijn die niet heeft ingegrepen toen het alarm af ging. Bij de eerste melding heb je waarschijnlijk geen beeld van hoe groot de situatie is en moet je het dus haast heel serieus nemen.

Wat dat betreft zit er ook wel wat wrijving tussen grote systemen die je centraal, efficient en professioneel laat beheren en door iedereen gebruikt worden en kleinere eilandjes die onafhankelijk(er) kunnen functioneren en/of geisoleerd worden.

Wat dat betreft

kodak

Hack
Cybercrime
Beveiliging en antivirus

@CAPSLOCK2000 • 19 mei 2025 13:21

Het is opvallend dat de conclussies niet in gaan op het steeds langer de heel belangrijke dienstverlening niet leveren aan alle studenten, personeel en andere afhankelijken. Of er is nauwelijks aandacht voor dat prpbleem, of men wil het er opzettelijk liever niet over hebben. En beiden is zeer zorgelijk.

Er is vaker opgemerkt dat dit bijzondere omstandigheden zouden zijn en het complex is. Dat studenten en personeel enz tevreden moeten zijn dat verantwoordelijken iets doen. Maar de wet is wat persoonlijke gegevens betreft heel duidelijk: er hoort rekening te worden gehouden dat dit soort onbevoegde toegang kan gebeuren en dat er vooraf grenzen gesteld horen te worden gesteld aan wat nog redelijke onbeschikbaarheid is. En daarover lezen we niets terug. Er lijkt vooraf geen enkele grens te zijn gesteld. De grens is ook niet duidelijk onderbouwd en ook niet duidelijk onderbouwd verder gerekt.

Er worden lessen getrokken om middelen betet met middelen te beschermen, zoals netwerken met 2fa. Er worden conclussies getrokken om gegevens met middelen te beschermen, zoals identiteiten met identity managment producten. Maar er staan opvallend geen lessen bij dat de wet nket allee technische maar ook organisatorische eisen stelt. Dat dat beveiliging zoals zorgen voor duidelijke grenzen aan onbeschikbaarheid van persoonlijke gegevens een plicht is en niet pas tijdens een lek realistisch moet worden ingeschat of zelfs maar met minimale kennis dan hoort ye worden bedacht en gerekt. Beveiliging is namelijk ook beschikbaarheid die moet blijven als er een lek is. Niet slechts het beter beschermen voor later.

hamsteg @CAPSLOCK2000 • 19 mei 2025 14:43

Van de ene kant is het best dramatisch dat aanvallers een aantal dagen vrij toegang hebben tot je systemen.

Wat is toegang? Als gebruiker of als admin? Dat bepaalde account geraden wordt is één, belangrijker is de toegang met meer rechten. Blijkbaar heeft men pas op dag 5 adminrechten bemachtigd en toen zijn er meerdere signalen afgegaan. Dan is er adequate gehandeld.

Noobie2010 19 mei 2025 11:33

Ik blijf het een bijzonder verhaal vinden. Een TU dat gehacked wordt.
Zou het kunnen zijn dat die groep via TU/E informatie probeerde te krijgen over ASML?

Doet me een beetje denken aan die Chinese hack jaren terug van Amerika waarbij ze in elk systeem een soort van sleeper agent hadden geïnstalleerd.

Als land zijnde moeten we ons echt beginnen af te vragen hoe het precies zit met de beveiliging van onze kritische infrastructuur. Energie, Water, Internet, Defensie. Hoe veilig zijn die systemen?

BytePhantomX @Noobie2010 • 19 mei 2025 11:47

Wat de aanvallers hier doen is typerend voor ransomware actoren. De tools die ze gebruikten en de dingen die ze deden zijn bepaald niet 'stealthy'. Van o.a. Chinese staatsactoren mag je wel wat meer verwachten om onzichtbaar te blijven.

Noobie2010 @BytePhantomX • 19 mei 2025 12:54

Waarom hebben ze het dan niet op slot gegooid?
Ransomware is toch inbreken en software installeren?

DEVegg

@Noobie2010 • 19 mei 2025 13:16

Zover zijn ze niet gekomen, heb ik mij laten vertellen. De detectie systemen, maar ook een IT medewerker van de TU/e heeft ze voortijdig ontdekt.

Z80 @Noobie2010 • 19 mei 2025 13:20

Zolang er een goede backup is gaat er niet betaald worden.
En juist bij het uitschakelen van de backup zijn ze opgevallen.

Ga je voor stelen van info dan blijf je van dit soort backupsystemen af. Dan wil je namelijk zo lang mogelijk toegang tot de systemen.

Noobie2010 @Z80 • 19 mei 2025 13:35

ah oke.Nu snap ik het.

The Reeferman @Noobie2010 • 19 mei 2025 14:01

Ze wouden eerst de backups onklaar maken. Met werkende backup heeft de afpersing minder kans van slagen.

bussie66 19 mei 2025 11:32

Het cybersecuritybedrijf meent dat de Technische Universiteit Eindhoven de kwetsbaarheden inmiddels heeft verholpen.

Assumptions enz.

Neem aan dat dit toch met 100% zekerheid nagegaan wordt?

Daeley 20 mei 2025 20:28

In het artikel staat dat MFA pas in de loop van het jaar komt. Ik vraag me af wat daar de bron voor is. Na de hack werd iedereen voor zover ik weet overgezet op een nieuwe VPN applicatie die wel MFA vereist om in te loggen. Mogelijk is nog niet iedereen over, maar dat zou me verbazen. (Bron: ik werk bij TU/e, maar ben niet betrokken bij de IT-dienst).

reinierpost @Daeley • 21 mei 2025 10:27

Er staat dat gepland was om MFA op VPN in te voeren; dat is nu versneld gebeurd.

Op dit item kan niet meer gereageerd worden.

Hackers TU/e hadden vijf dagen lang toegang tot IT-systemen

Lees meer

Reacties (61)

Sorteer op:

Weergave: