In deze update meer informatie over misbruik gehackte gegevens Iddink en aanvulling melding datalek.
Misbruik gehackte gegevens Iddink
Iddink Learning Materials heeft donderdag 30 mei en vrijdag 31 mei scholen laten weten dat ouders uit naam van Iddink een phishingmail hebben ontvangen. Ook heeft Iddink haar blog geactualiseerd op dit punt. In de phishingmail worden ouders verzocht om een bedrag te betalen voor digitaal leermateriaal. Bij de hack van Iddink Learning Materials door de hackersgroep Cactus is 1 terabyte (TB) aan bedrijfsgegevens gestolen. Deze informatie is gepubliceerd op het Dark Web. Terwijl Iddink er eerst van uit is gegaan dat er misbruik kan worden gemaakt van de gestolen data, blijkt dat dit nu ook daadwerkelijk het geval is.
Het advies van SIVON is dat scholen hun (oud) leerlingen, hun ouders en medewerkers informeren over het huidige misbruik van de gestolen gegevens door de hackers. Het is goed om te waarschuwen voor onderstaande:
- Let op e-mails, sms-berichten of telefoontjes waarin om persoonlijke gegevens wordt gevraagd, zelfs als het lijkt alsof het bericht van Iddink of de school is. Iddink en de school vragen nooit om persoonlijke gegevens te verstrekken via een link in de mail.
- Ga niet in op verzoeken in e-mail om in te loggen of om te betalen. De school zal de leerlingen en hun ouders vooraf informeren als er actie wordt gevraagd om schoolboeken en lesmateriaal te bestellen of te betalen.
- Pas op voor e-mails die hyperlinks of bijlagen bevatten, klik niet op deze links tenzij je hebt vastgesteld dat de e-mail betrouwbaar is en de link te vertrouwen is (dit kan bijvoorbeeld door de link te controleren via www.checkjelinkje.nl).
- Pas op voor e-mails of sms-berichten met spelfouten, vreemde afzenders, ander dan Nederlands taalgebruik of iets anders ongewoons.
Meer informatie en advies over veilig internetten en e-mail staat op de website van de Rijksoverheid www.veiliginternetten.nl.
SIVON heeft een voorbeeldbrief gemaakt die scholen kunnen gebruiken om hun (oud) leerlingen en hun ouders te informeren.
Gehackte gegevens
Iddink heeft laten weten dat de gegevens uit de database van Iddink Learning Materials waarschijnlijk niet in handen is gekomen van de hackergroep Cactus. Wel heeft de hackersgroep de 1 TB met bedrijfsgevoelige informatie en klantgegevens die elders bij Iddink stonden, gepubliceerd op het Dark Web. Uit onderzoek van deze gepubliceerde gegevens door het CERT van Kennisnet en SIVON blijkt dat in deze informatie ook gegevens aanwezig zijn van scholen en hun (oud) leerlingen, hun ouders en medewerkers. Daar wordt door hackers actief misbruik van gemaakt. Het advies van Iddink is om zelf deze gestolen gegevens niet te downloaden vanwege beveiligingsrisico’s.
Melding datalek
Ons advies is om de voorlopige melding van het datalek bij de Autoriteit Persoonsgegevens (AP) aan te vullen met de informatie dat er daadwerkelijk klantgegevens van scholen is gelekt. Het is niet bekend welke informatie van welke scholen in de gestolen en gepubliceerde informatie is opgenomen. Daarnaast kan worden gemeld dat er actief misbruik wordt gemaakt van de gestolen informatie, en dat de school de betrokkenen hierover aanvullend heeft geïnformeerd.
De verwachting is niet dat er nog veel nieuwe informatie over de hack beschikbaar zal komen. Iddink heeft in de eigen datalekmelding bij de AP zelf wel meer (technische) informatie gegeven over de hack. Het advies is om in de datalekmelding nog niet af te ronden. SIVON heeft Iddink gevraagd om een eindverslag te delen met de scholen, met daarin de bevindingen van Iddink, zodat scholen daarna formeel de datalekmelding kunnen afsluiten.