Datalek bij campuspasbedrijf ID-Ware treft TU/e

Hackers hebben persoonsgegevens gestolen bij ID-Ware, het bedrijf dat het campuspas-systeem van de TU/e verzorgt. De hackers hebben gegevens op het darkweb gepubliceerd die horen bij zo’n 21000 TU/e-campuspassen. Alle pashouders die het betreft, hebben hierover donderdag 20 oktober een e-mail gehad van de TU/e.

Het bedrijf ID-Ware heeft een verklaring online staan over de gegevensdiefstal, die meer partijen raakt dan de TU/e.

De gestolen data zijn hoofdzakelijk de gegevens van studenten, medewerkers en enkele andere campusgebruikers. Het gaat daarbij vooral om NAW-gegevens, zoals naam, adres en campuspasnummer, maar geen wachtwoorden, foto’s of sleutelbestanden. Daardoor is er geen risico dat iemand met de data nieuwe campuspassen kan maken of kopiëren, toegang tot gebouwen kan krijgen of tegoeden kan ontsluiten. Iedereen kan zijn campuspas dus zonder risico blijven gebruiken.

Wel bestaat er het risico dat pashouders meer te maken krijgen met phishing, spam, of identiteitsfraude. In de mailing aan de pashouders die het betreft, staat de oproep om de komende tijd hierop extra alert te zijn. Het datalek is gemeld aan de Autoriteit Persoonsgegevens.

Nicole Ummelen, vice-voorzitter van het College van Bestuur: “We betreuren uitermate dat dit heeft kunnen plaatsvinden. We zijn als organisatie ontzettend kien op digitale veiligheid, en we vinden privacy van onze medewerkers en studenten enorm belangrijk. We snappen het als mensen hier zorgen over hebben, en die delen wij ook. We gaan er dan ook voor zorgen dat we de onderste steen boven krijgen zodat we passende maatregelen kunnen nemen.”

Voor TU/e-medewerkers en -studenten is er een uitgebreide FAQ met meer informatie, die doorlopend bijgewerkt wordt.

De onafhankelijke interne toezichthouder is samen met de universiteit begonnen met een onderzoek naar de toedracht van het datalek.

Enkele weken geleden werd al bekend dat hackers de gegevens van zo’n 1800 TU/e-campuspassen bemachtigd hadden bij ID-Ware. Afgelopen vrijdagavond kreeg de TU/e de melding van ID-Ware dat een tweede bestand was aangetroffen op het darkweb met TU/e-data, ditmaal met de gegevens van circa 21000 passen.