Maandagmorgen heeft de TU Eindhoven rapporten vrijgegeven over de hackersaanval die afgelopen januari tot een dagenlange verstoring van het onderwijs leidde. De universiteit haalde destijds het netwerk offline om problemen te voorkomen.
De hacker wilde waarschijnlijk de systemen gijzelen, denkt Fox-IT, het bedrijf dat voor de universiteit de aanval heeft onderzocht. Met zogeheten ransomware kunnen hackers de systemen vergrendelen; je krijgt weer toegang als je losgeld hebt betaald.
Gestolen wachtwoorden
De universiteit bleek weerbaar, staat in een evaluatie. Maar de beveiliging kon wel beter. De hacker kwam op afstand het netwerk binnen via gestolen gebruikersnamen en wachtwoorden. Tweestapsverificatie (met een extra check via je mobiele telefoon) zou dit kunnen voorkomen.
Het was bovendien bij de universiteit bekend dat die inloggegevens waren gestolen en op het darkweb stonden. Getroffen medewerkers en studenten hadden eerder het verzoek gekregen om hun wachtwoord te veranderen, maar sommigen ‘veranderden’ hun wachtwoord toen in hetzelfde (en dus gestolen) wachtwoord. ‘Dat hadden we technisch niet goed dichtgezet’, zegt chief information security officer Martin de Vries tegen universiteitsblad Cursor.
Weinig ervaring
De hacker had waarschijnlijk nog niet zoveel ervaring. Na een paar dagen probeerde hij de back-ups uit te schakelen en installeerde hij een tool die de alarmbellen deed rinkelen. Hij trapte als het ware de deur in, zegt De Vries tegen Cursor. ‘Ik had verwacht dat hij langer onder de radar had willen blijven.’
Wie er achter de hack zit, is niet bekend. Fox-IT zag sporen van cyrillisch schrift, maar dat was niet genoeg om de herkomst vast te stellen.
Het hoger onderwijs krijgt vaker cyberaanvallen te verduren. De meest bekende is de gijzelaanval op de Universiteit Maastricht. Toen is er 200 duizend euro losgeld betaald, al kreeg de universiteit dat later met winst terug.
