Inloggegevens van 288 Saxion-accounts bleken gestolen, maar ‘Saxion heeft geen risico gelopen’

Hepping kreeg afgelopen donderdag bericht vanuit het Digital Trust Centre  van ministerie  van Economische Zaken over het datalek. De politie was namelijk in Europees verband bezig met ‘Operation Endgame’, waarbij verschillende botnets offline zijn gehaald. In Nederland zijn 33 servers uit de lucht gehaald en werd één doorzoeking gedaan.

Eind mei zijn door de internationale opsporingsautoriteiten botnets IcedID, Smokeloader, SystemBC, Pikabot en Bumblebee offline gehaald. Uit de buitgemaakte kwam ook Saxion naar voren. Er bleken 288 inloggegevens gestolen te zijn.

Uiteindelijk bleek het om accounts van twee medewerkers en zo’n 75 studenten te gaan, zegt Hepping. De overige accounts waren niet meer actief. Die waren bijvoorbeeld van afgestudeerde studenten of medewerkers die van Saxion vertrokken zijn. Die accounts kwamen wel naar voren in het politieonderzoek, omdat ze in de gevonden database zaten, waarvan niet bekend is hoe oud die is.

De gestolen inloggegevens van Saxion hebben niet tot schade geleid, zo concludeerde de security-afdeling. “Daar heeft multifactor authentication (MFA) bij geholpen”, zegt hij. Sinds ongeveer twee jaar zijn een email-adres en wachtwoord namelijk niet meer genoeg om in te loggen. Daarvoor is een tweede stap vereist, het invoeren van een steeds afwisselende cijfercombinatie die naar de mobiele telefoon wordt gestuurd.

Geld eisen

De botnets proberen met die logingegevens in systemen te komen, in dit geval van Saxion. Die kunnen dan bijvoorbeeld platgelegd worden, of er wordt gevoelige informatie gestolen, waarna de criminelen geld eisen om de website weer vrij te geven. Daarvoor wordt malware geïnstalleerd, bijvoorbeeld door mensen die op een verkeerde link hebben geklikt. Die malware draait onzichtbaar op de achtergrond en verstuurt inloggegevens naar de botnets.

De autoriteiten schatten in dat er voor honderden miljoenen euro’s aan financiële schade is aangebracht bij overheden en overheidsinstellingen.

Afgelopen donderdag, 12.15 uur, kwam de melding van de gestolen Saxion-emailaccounts bij Hepping binnen. “Ik haalde er meteen onze security specialist bij”, zegt hij. Drie kwartier later, om 13 uur, was de complete groep bij elkaar om de noodzakelijke acties uit te zetten. Later in de middag, 16 uur, waren alle stappen ondernomen.

Welke stappen gezet zijn? Als eerste moesten de risico’s ingeperkt worden, zegt Hepping. “We hebben van alle geïnfecteerde accounts het wachtwoord gereset, zodat er niet meer een poging tot inlog gedaan kon worden. Daarna keken we of we vreemde gedragingen in het systeem zagen. Dat bleek niet het geval.”

Vervolgens zijn de betreffende medewerkers en studenten rechtstreeks geïnformeerd via hun privé-mail. De laptops van de medewerkers zijn opnieuw geïnstalleerd. “Daarmee hebben we de eventuele malware op die computer verwijderd”, aldus Hepping.

Bij de studenten kon dat niet, omdat die op hun eigen laptop werken. “We hebben in de mail naar hun privéadres gewezen op de mogelijkheden om een scan te doen en de malware te verwijderen”, aldus Hepping. “Ook hebben we aangeboden om dat door de IT-Servicedesk te laten doen.” Navraag leert dat geen van de studenten dat laatste heeft gedaan.