De hackersgroep ShinyHunters zegt gegevens van 275 miljoen docenten en studenten te hebben buitgemaakt. Het gaat om een wereldwijd lek dat op het moment van schrijven mogelijk ook Europese en Nederlandse universiteiten raakt. De dataset dook recent op een hackersforum, waar de informatie te koop zou zijn. Het incident vergroot de risico’s op misbruik van persoonsgegevens en raakt direct aan privacyregels en Europese digitalisering, met gevolgen voor onderwijsinstellingen en het bedrijfsleven dat met hen samenwerkt.
Hack raakt onderwijs wereldwijd
ShinyHunters staat bekend als een georganiseerde cybercriminele groep die grote hoeveelheden data verhandelt. De nu aangeboden set omvat naar eigen zeggen informatie van 275 miljoen profielen, van zowel studenten als medewerkers. Door de schaal is de impact vermoedelijk internationaal, met een hoge kans op doorwerking in meerdere onderwijsnetwerken.
Voor Nederland is relevant dat universiteiten en hogescholen veel internationale accounts beheren. Daardoor kunnen ook Nederlandse adressen of accounts zijn meegenomen, al ontbreekt bevestiging op het moment van schrijven. Instellingen onderzoeken doorgaans eerst steekproeven om te bepalen of gegevens echt van hun systemen komen.
De dataset zou op een hackersforum worden aangeboden aan kopers die hier financieel voordeel in zien. Zulke handel verhoogt de kans op phishing, identiteitsfraude en misbruik van accounts. Hoe de aanvallers precies toegang kregen, is nog niet publiek duidelijk.
Gevoelige data mogelijk op straat
Onderwijsdatabases bevatten vaak namen, e-mailadressen, rollen, studie- of werkniveaus en contactgegevens. Soms staan er ook inloggegevens in, zoals wachtwoorden die versleuteld zijn opgeslagen. Als ook metadata of interne codes zijn meegenomen, kan dat misbruik via geautomatiseerde aanvallen eenvoudiger maken.
Dergelijke gegevens zijn waardevol voor gerichte phishing en social engineering. Met rolinformatie kunnen aanvallers geloofwaardige berichten sturen namens studie- of afdelingsadministraties. Zo worden wachtwoorden buitgemaakt of tweefactorauthenticatie omzeild via steunvragen aan helpdesks.
Versleuteling en hashing beperken de schade, maar alleen als ze goed zijn toegepast. Wachtwoordhergebruik tussen systemen blijft een groot risico, omdat een oud lek nieuwe aanvallen kan voeden. Het afdwingen van multifactor-authenticatie (MFA) verkleint de kans op accountovernames aanzienlijk.
Nederlandse impact en meldplichten
Bij een vermoedelijk datalek moeten onderwijsinstellingen onder de AVG (GDPR) binnen 72 uur melding doen bij de Autoriteit Persoonsgegevens. Als er een hoog risico is voor betrokkenen, moeten zij ook actief worden geïnformeerd. Niet of te laat melden kan leiden tot sancties en extra toezicht.
“Bij een datalek moeten organisaties het incident binnen 72 uur melden bij de toezichthouder,” bepaalt de AVG.
Daarnaast komen met NIS2, die in 2024 in nationale wetgeving wordt omgezet, zwaardere eisen voor middelgrote en grote organisaties in vitale ketens. Voor onderwijs en onderzoek betekent dit meer nadruk op risicobeheer, leverancierscontrole en snelle incidentmelding. Ook IT-dienstverleners die voor universiteiten werken vallen dan onder strengere regels.
Sectorale samenwerking is belangrijk om schade te beperken. Nederlandse onderwijsinstellingen wisselen indicatoren van compromittering vaak uit via SURFcert en kunnen bij ernstige gevallen opschalen met politie en Team High Tech Crime. Heldere rolverdeling en vaste draaiboeken versnellen de respons.
Hoe ShinyHunters opereert
ShinyHunters is sinds enkele jaren actief en wordt gelinkt aan grote datadiefstallen, waaronder bij internationale bedrijven. De groep verdient aan verkoop of ruil van datasets en aan chantage. Publicatie op fora vergroot de druk op getroffen partijen om te betalen of snel te reageren.
Aanvallen beginnen vaak met gestolen inloggegevens, misbruik van kwetsbare API’s of fouten bij cloudtoegang. Ook leveranciersketens zijn een ingang, bijvoorbeeld via beheerdersaccounts of testomgevingen. Zodra aanvallers binnen zijn, zoeken zij naar databases en back-ups met maximale waarde.
Verificatie van zulke claims kost tijd. Onderzoekers vragen om gegevensvoorbeelden en controleren of deze overeenkomen met echte, recente records. Forensisch onderzoek bij instellingen kan weken tot maanden duren, zeker als meerdere systemen of partners meespelen.
Wat onderwijs nu moet doen
Instellingen doen er goed aan direct logbestanden te controleren, verdachte accounts te blokkeren en wachtwoorden geforceerd te resetten. Het inschakelen van MFA en het beperken van toegangsrechten verkleint vervolgschade. Leg daarnaast vast welke leveranciers toegang hebben en laat hen hun beveiliging aantoonbaar toetsen.
Medewerkers en studenten kunnen zichzelf beschermen door wachtwoorden te wijzigen, unieke wachtwoorden te gebruiken en een wachtwoordmanager in te zetten. Let extra op phishingmails die lijken te komen van studie- of HR-systemen. Controleer desnoods via publieke datalekcheck-diensten of een e-mailadres eerder is uitgelekt.
Op langere termijn helpen dataminimalisatie, sterke versleuteling en segmentatie van netwerken. Neem inkoopvoorwaarden op waarin beveiligingsnormen, audits en incidentmelding zijn vastgelegd. Voer voor belangrijke onderwijs- en studentensystemen standaard een DPIA uit en pas privacy by design toe.