Het hackerscollectief ShinyHunters zegt op het moment van schrijven gegevens van 275 miljoen docenten en studenten te hebben buitgemaakt. De data worden wereldwijd te koop gezet op het forum BreachForums. In gedeelde voorbeelden zouden ook Nederlandse onderwijsdomeinen staan. Het mogelijke datalek raakt privacy, vergroot risico’s op phishing en kan gevolgen hebben onder de AVG en de Europese AI-verordening.
Datadiefstal raakt onderwijs wereldwijd
ShinyHunters claimt een grote buit met onderwijsgegevens uit meerdere landen. Het gaat volgens de advertentie om namen, e-mailadressen en schoolinformatie, en mogelijk ook inloggegevens. De dataset wordt aangeboden aan kopers die bereid zijn te betalen.
Onderzoekers zien dat er voorbeeldbestanden zijn gedeeld om de echtheid te tonen. Daarin lijken records uit verschillende onderwijsomgevingen te staan. Onafhankelijke bevestiging ontbreekt op het moment van schrijven.
De omvang van 275 miljoen profielen is uitzonderlijk. Daardoor nemen beveiligingsteams de claim serieus, ook zonder volledige verificatie. De herkomst van alle data is nog onduidelijk.
275 miljoen profielen van docenten en studenten worden aangeboden op een hackersforum, stelt ShinyHunters.
Nederlandse instellingen mogelijk geraakt
In de gedeelde voorbeelden zouden ook .nl-e-mailadressen voorkomen. Dat wijst op een mogelijke impact voor Nederlandse universiteiten, hogescholen en mbo-instellingen. De daadwerkelijke omvang in Nederland is nog niet vastgesteld.
Instellingen in het hoger en middelbaar beroepsonderwijs gebruiken vaak internationale platforms en clouddiensten. Een inbraak bij een leverancier kan daardoor veel scholen tegelijk raken. Dat maakt snelle afstemming met leveranciers cruciaal.
SURF en het Nationaal Cyber Security Centrum (NCSC-NL) kunnen coördineren bij incidentrespons. Delen van indicatoren van compromittering, zoals verdachte e-mails of IP-adressen, helpt bij detectie. Ook is het raadzaam om sectorspecifieke waarschuwingen intern te verspreiden.
AVG en meldplicht datalekken
Als persoonsgegevens in verkeerde handen zijn gekomen, geldt de meldplicht datalekken uit de AVG. Organisaties moeten binnen 72 uur melden bij de Autoriteit Persoonsgegevens als er een risico is. Betrokkenen moeten worden geïnformeerd bij een hoog risico, bijvoorbeeld bij wachtwoord- of identiteitsdiefstal.
De AVG verplicht tot dataminimalisatie en versleuteling. Als wachtwoorden niet goed gehasht of versleuteld zijn, stijgt het risico op misbruik. Logboeken en auditrapporten zijn nodig om te laten zien welke maatregelen zijn genomen.
Onderwijsinstellingen werken vaak met verwerkers en subverwerkers in de cloud. De verwerkersovereenkomst moet duidelijk maken wie welke plichten heeft bij een datalek. Juridische en technische teams moeten dit samen beoordelen en vastleggen.
Grotere risico’s door AI-misbruik
Gelekte school- en werkadressen maken gerichte phishing eenvoudiger. Criminelen kunnen met taalmodellen snel overtuigende berichten opstellen, bijvoorbeeld zogenaamd van de studieadministratie. Zo ontstaan realistische fraude- en inlogvallen.
Datasetten met onderwijsdata kunnen bovendien worden misbruikt voor het trainen van datamodellen. Dat kan leiden tot ongewenste profilering en herleidbaarheid. De Europese AI-verordening legt hiervoor strengere eisen op aan hoogrisicosystemen in onderwijs en overheid.
Voor eindgebruikers blijft basisbescherming belangrijk. Gebruik unieke wachtwoorden en zet tweestapsverificatie aan. Wees extra alert op onverwachte wachtwoordresets of betaalverzoeken.
Aanbevolen stappen voor onderwijs
Inventariseer of domeinen van de instelling in de aangeboden dataset voorkomen. Vraag leveranciers direct om een incidentverklaring en forensische tijdlijn. Documenteer alle bevindingen voor een eventuele melding bij de AP.
Forceer waar nodig een wachtwoordreset voor studenten en medewerkers. Schakel waar mogelijk FIDO2 of andere sterke authenticatie in. Monitor aanmeldingen op vreemde tijden en locaties en blokkeer verdachte IP-adressen.
Communiceer helder en zonder schuldvraag richting de gemeenschap. Leg uit welke gegevens mogelijk zijn geraakt en welke stappen worden gezet. Bied hulp bij het herkennen en melden van phishingpogingen.
ShinyHunters’ staat van dienst
ShinyHunters is een bekende groep die vaker grote datasets verhandelt. Eerdere claims van deze groep zijn deels bevestigd door latere onderzoeken. Daardoor krijgt een nieuwe advertentie al snel gewicht.
De verkoop verloopt vaak via fora als BreachForums. Daar plaatsen verkopers een steekproef om kopers te lokken en druk te verhogen. Publicatie volgt soms als onderhandelingen stuklopen.
Of de genoemde 275 miljoen records volledig en authentiek zijn, vergt technisch onderzoek. Tot die tijd is voorzichtigheid geboden en geldt het worstcasescenario voor beveiliging. Instellingen doen er goed aan nu al maatregelen te treffen.
