De TU Delft en Universiteit Utrecht zijn onlangs geïnformeerd dat er data is buitgemaakt door de cyberaanval op Blackbaud. Daarbij zijn persoonsgegevens van een onbekend aantal alumni buitgemaakt. Beide onderwijsinstellingen hebben de Autoriteit Persoonsgegevens op de hoogte gesteld van het datalek en onderzoeken of ze vervolgstappen nemen richting Blackbaud. Dat schrijven de TU Delft en Universiteit Utrecht in een persverklaring.
Om in contact te blijven met oud-studenten of alumni, maken universiteiten en hogescholen gebruik van een CRM-systeem. Dat staat voor Customer Relations Management systeem, of relatiemanagementsysteem. Zowel de TU Delft als de Universiteit Utrecht gebruikt het CRM-systeem van Blackbaud om contacten met alumni, donateurs en andere relaties bij te houden. Blackbaud is een van de grootste leveranciers van CRM-systemen voor onderwijsinstellingen en organisaties in de non-profitsector.
Eind juli maakte Blackbaud bekend dat het slachtoffer was geworden van een ransomware-aanval. Hackers slaagden erin om het netwerk van Blackbaud te infiltreren, data te versleutelen en bestanden te stelen. De daders dreigden om de buitgemaakte informatie met de buitenwereld te delen. Om dat te voorkomen besloot Blackbaud om losgeld te betalen. Tegelijkertijd eiste het bedrijf dat de hackers alle kopieën van de buitgemaakte data vernietigden. Naar eigen zeggen had het bedrijf dat bewijs van gekregen. Bij de aanval is geen privacygevoelige informatie gestolen, zoals creditcardnummers, bankrekeningnummers of burgerservicenummers.
Zeker tien universiteiten en een aantal goededoelenorganisaties kregen afgelopen maand te horen dat er data was buitgemaakt van studenten, alumni en medewerkers. De University of York en Human Rights Watch bevestigden dat zij de dupe waren geworden van de cyberaanval op Blackbaud. Beide instellingen stelden dat er behoorlijk wat privacygevoelige persoonsgegevens waren gestolen bij de aanval.
Tot nu toe hadden we niets vernomen van Nederlandse universiteiten. Nu blijkt dat de TU Delft en Universiteit Utrecht tot de slachtoffers behoren. De aanval vond plaats tussen 7 februari en 20 mei, maar beide onderwijsinstellingen zijn pas op 16 juli geïnformeerd door Blackbaud.
In een persverklaringen zeggen de universiteiten dat een verouderd alumnidatabestand in handen is gekomen van de hackers. Het gaat om een oude back-up uit 2017 die nog in de omgeving van Blackbaud stond. Hierdoor hebben de daders persoonsgegevens, contactgegevens en opleidings- en loopbaangegevens weten te bemachtigen. Bij de Universiteit Utrecht is ook informatie over evenementbezoeken en donatiegedrag bemachtigd. Bankgegevens en wachtwoorden stonden niet in deze back-up, of waren versleuteld. Blackbaud verzekert dat de hackers de back-up met data hebben vernietigd en dat ze geen aanwijzingen hebben om aan te nemen dat de buitgemaakte gegevens zijn verspreid.
Zowel de TU Delft als Universiteit Utrecht heeft naar aanleiding van de ransomware-aanval op Blackbaud maatregelen genomen. Om te beginnen hebben de onderwijsinstellingen de Autoriteit Persoonsgegevens ingelicht over het datalek. Alle alumni en andere relaties wiens gegevens door de cyberaanval zijn buitgemaakt, zijn op de hoogte gesteld. Daarnaast bekijken de universiteiten hoe het kan dat een verouderde back-up op de servers van Blackbaud stond.
Ook willen de onderwijsinstellingen weten waarom Blackbaud zolang heeft gewacht om hen te informeren over de aanval. Ze zijn benieuwd welke maatregelen het bedrijf heeft genomen om de veiligheid van zijn systemen te verbeteren. Op basis daarvan wordt de samenwerking met Blackbaud geëvalueerd, en al dan niet vervolgstappen gezet richting het bedrijf. Tot slot bekijken de universiteiten welke consequenties dit heeft voor de wijze waarop hun CRM-database is georganiseerd.
Een woordvoerder van de TU Delft laat tegenover Tweakers.net weten dat 60.000 alumni en andere relaties het slachtoffer zijn geworden van de ransomware-aanval bij Blackbaud. Hoeveel slachtoffers de Universiteit Utrecht heeft te betreuren, is onbekend.
