In september dit jaar was er al een hack waarbij data gestolen is van ID-Ware. Het leek toen nog om een beperkte hoeveelheid data te gaan, waarvan destijds de betreffende mensen op 8 oktober op de hoogte zijn gesteld. Dat is verder niet breed bekend gemaakt op dat moment. Nu blijkt dat het lek veel breder is en de TU/e is daarvan op de hoogte gesteld op 14 oktober. Er staat nergens precies genoemd om hoeveel personen het lek gaat, maar de waarschuwingsmail is TU/e-breed verstuurd en de gemeenschap telt ruim 20.000 mensen en het bedrijf ID-Ware maakt natuurlijk ook voor andere organisaties pasjes en verwerkt daarvoor persoonsgegevens.
De gestolen data verschilt per persoon, maar het kan gaan om een of meerdere zaken van dit rijtje:
- TU/e-persoonsnummer
- Initialen
- Achternaam
- Adres
- Woonplaats
- Studentennummer indien van toepassing
- Geboorteplaats
- Privé e-mail
De gestolen data staan op het darkweb en zijn daar vindbaar als je weet hoe je daar moet zoeken.
Risico op identiteitsfraude
Campuskaarten blijven actief en studenten en medewerkers mogen ze blijven gebruiken. ID-Ware had geen toegang tot wachtwoorden van TU/e-accounts en die data zijn dus niet gelekt. Dit lek kan grote gevolgen hebben, zoals identiteitsfraude. Maar ook inzet voor phishing of spam. Het is daarom raadzaam om hier extra alert op te zijn, staat ook in de mail die rond is gestuurd. Wie een vorm van identiteitsfraude opmerkt wordt aangeraden om dat te melden bij het Centraal Meldpunt Identiteitsfraude.
Melden van het lek
In de mail aan de TU/e-gemeenschap, die ondertekend is door het College van Bestuur, staat niets over gevolgen voor het bedrijf ID-Ware, noch of dit lek gemeld is bij de Autoriteit Persoonsgegevens, een verplichting bij dergelijke datalekken. Ook in het statement van ID-Ware staat de Autoriteit Persoonsgegevens niet expliciet vermeld, maar er staat wel dat het bedrijf in nauw contact is met ‘de politie, overheid en National Cyber Security Center’. Er staat een hoge boete op het nalaten van het tijdig melden van datalekken. Het melden van een datalek leidt niet automatisch tot een boete of andere sanctie.
Discussie