Ethisch hacker ontdekt datalek bij DUO: 60.000 e-mailadressen van terugbetalers

[Rudy]

Onlangs heeft een ethische hacker ontdekt dat de e-mailadressen van maar liefst 60.000 terugbetalers van de Dienst Uitvoering Onderwijs (DUO) toegankelijk waren vanwege een datalek. Gelukkig was er geen andere data zichtbaar, maar omdat veel e-mailadressen namen bevatten, kon vaak worden achterhaald wie de schuldenaren waren.

Hoe is dit gebeurd? De hacker kreeg toegang tot deze e-mailadressen nadat DUO een enquête verstuurde aan 60.000 mensen met een studieschuld. BNR meldt dat dit datalek op 30 mei werd ontdekt en nog dezelfde avond werd gemeld. Het bleek dat de software die DUO gebruikte voor het versturen van de enquêtes slecht beveiligd was. Deze software, afkomstig van het Zwitserse bedrijf Survalyzer, vertoonde ernstige beveiligingslekken.

De bewuste e-mail bevatte vragen over de financiële situatie van oud-studenten. Helaas is dit niet de enige enquête die DUO met Survalyzer uitvoerde. Hierdoor zijn mogelijk ook de e-mailadressen van andere groepen, zoals scholen en gemeenten, publiekelijk toegankelijk geweest. DUO heeft inmiddels een melding gedaan bij de Autoriteit Persoonsgegevens en bevestigde dat alleen e-mailadressen zichtbaar waren.

Op 31 mei, een dag na de ontdekking van het datalek, werd het onderzoek en de bijbehorende data offline gehaald. Survalyzer heeft bovendien een beveiligingsbedrijf ingeschakeld om het datalek verder te onderzoeken.

Het incident benadrukt nogmaals het belang van goede beveiliging bij het verwerken en opslaan van persoonsgegevens. Hoewel er in dit geval geen andere data dan e-mailadressen zichtbaar waren, kan de impact groot zijn vanwege de persoonlijke informatie die vaak in e-mailadressen is verwerkt.

We hopen dat DUO en Survalyzer de nodige maatregelen zullen treffen om herhaling te voorkomen en de beveiliging van hun systemen te verbeteren.

Tweakers.net