Door een beveiligingsfout van de Dienst Uitvoering Onderwijs (DUO) waren de e-mailadressen van 60.000 Nederlanders met een studieschuld tijdelijk online zichtbaar, meldt BNR.
Dit datalek heeft potentieel risico’s voor phishing en andere vormen van cybercriminaliteit.
Onbeveiligde Enquête
Op 30 mei verstuurde DUO een enquête naar mensen die bezig zijn met het afbetalen van hun studieschuld. Een ethisch hacker ontdekte dat de beveiliging van de enquête niet op orde was, waardoor hij alle e-mailadressen kon inzien. De enquête werd geanalyseerd met software van het Zwitserse bedrijf Survalyzer, die onvoldoende beveiligd bleek te zijn.
Directe Melding en Beveiliging
De hacker meldde zijn ontdekking onmiddellijk bij DUO. Vervolgens werd de beveiliging van de software aangescherpt om verdere toegang door onbevoegden te voorkomen. Zowel DUO als Survalyzer zijn een onderzoek gestart naar het datalek.
Risico’s en Voorzorgsmaatregelen
Hoewel er vooralsnog geen aanwijzingen zijn dat er misbruik is gemaakt van de gegevens, blijft het risico op phishing bestaan. “Naast een e-mailadres en mogelijk een naam heb je een stukje context over die persoon en de situatie waar die in zit,” zegt Roos Dijkxhoorn, oprichter van cybersecuritybedrijf PuraSec. Deze context maakt het makkelijker voor oplichters om geloofwaardige phishing-aanvallen uit te voeren.
Melden bij Autoriteit Persoonsgegevens
DUO heeft het datalek gemeld bij de Autoriteit Persoonsgegevens. Dit is een verplichte stap bij het constateren van een dergelijk lek, vooral wanneer er risico’s zijn voor de betrokkenen.
Het incident benadrukt het belang van robuuste beveiligingsmaatregelen bij het verwerken en analyseren van gevoelige gegevens. DUO en Survalyzer werken nu aan het verbeteren van hun systemen om dergelijke incidenten in de toekomst te voorkomen.