Cyberbende hackt schoolboekenverkoper: gegevens van leerlingen en ouders gestolen

In totaal maken ruim 300.000 leerlingen in het middelbaar onderwijs gebruik van de boeken van Iddink. Het is niet duidelijk of de gegevens van al deze leerlingen zijn gelekt. Het gaat om persoonlijke informatie zoals namen, e-mailadressen en bankgegevens van klanten van Iddink Learning Materials, scholen en studenten die boeken of leermaterialen hebben besteld.

Iddink Learning Materials heeft als gevolg van de aanval geen toegang meer tot de eigen systemen. Een woordvoerder zegt dat er nog geen beeld is van de precieze omvang van de schade. Magister, een dienst die scholen gebruiken om gegevens van leerlingen bij te houden en om berichten naar leerlingen en hun ouders te sturen, ondervindt vooralsnog geen last van de aanval.

Cyberdeskundigen spreken desondanks van een serieuze cyberaanval, gepleegd door Cactus. Deze beruchte hackersorganisatie heeft het afgelopen jaar meer dan honderd bedrijven gechanteerd, waaronder de Franse multinational Schneider Electric. De hackers zetten bij hun aanvallen ransomware in, oftewel gijzelsoftware die systemen op slot zet en pas weer vrijgeeft als de gijzelnemers worden betaald.

Iddink is niet van plan om losgeld te betalen. De organisatie heeft donderdag, na de ontdekking van de aanval, direct alle getroffen systemen afgesloten en heeft externe beveiligingsexperts ingeschakeld om de schade te beperken. Autoriteit Persoonsgegevens (AP), de toezichthouder op het gebied van privacy, is op de hoogte gebracht.

Klanten van Iddink zijn vrijdagavond al op de hoogte gebracht, zaterdag volgde een brief met uitleg aan ouders. Sivon, de ict-coöperatie voor het primair en voortgezet onderwijs, organiseert maandagmiddag samen met Iddink een bijeenkomst om de stand van zaken toe te lichten en vragen van scholen te beantwoorden. Sivon adviseert getroffenen om ‘extra alert’ te zijn op ongebruikelijke e-mail-activiteiten. ,,De gelekte gegevens kunnen misbruikt worden door kwaadwillenden. Zij sturen bijvoorbeeld phishing mails uit naam van een school”, valt te lezen in een verklaring. De politie is inmiddels een onderzoek begonnen naar de daders achter de cyberaanval.

Cybercriminelen uit onder meer Rusland en China zijn door de jaren heen steeds hogere bedragen van gehackte Nederlandse bedrijven gaan eisen. De bedragen lopen soms op tot wel een miljoen euro, veel meer dan twee jaar geleden. Vaak blijken deze afpersingspraktijken bijzonder succesvol. Zo werd één op de vier Nederlandse organisaties in 2023 getroffen door ransomware. Bijna 80 procent van hen had losgeld betaald om de hack weer ongedaan te laten maken, bleek uit een rapportage van Hiscox Verzekeringen.

Intussen kijkt Autoriteit Persoonsgegevens kritisch of mensen goed op de hoogte worden gebracht wanneer ergens een datalek is geweest, zoals nu het geval is bij Iddink. ,,Te vaak zie je dat zo’n melding te laat of te onduidelijk is, als er al wat komt. Dan wordt niet goed uitgelegd om welke gegevens het gaat en wat mensen zelf kunnen doen”, zei een woordvoerder afgelopen week tegen het ANP.

Als er een datalek is geweest, is de getroffen organisatie doorgaans verplicht een bericht te sturen aan de mensen van wie de gegevens zijn uitgelekt. Ook moet er melding worden gedaan bij de AP. De toezichthouder kreeg vorig jaar meldingen van 25.694 datalekken, een toename ten opzichte van de 21.151 meldingen het jaar ervoor. Deze stijging komt mede door een andere manier van berekenen.

De politie noemt ransomware ondertussen ‘de grootste bedreiging voor de digitale veiligheid’. Aanvallers beperken zich tegenwoordig niet meer tot het versleutelen van systemen en het eisen van losgeld. Ze proberen ook interne gegevens te stelen. Daarmee kunnen ze het slachtoffer extra afpersen. Bovendien kunnen ze die gegevens doorverkopen op de zwarte markt, aan mensen die er bijvoorbeeld identiteitsfraude mee willen plegen. ,,We zien steeds vaker serieuze aanvallen met ransomware”, zei Theo van der Plas, die bij de politie verantwoordelijk is voor de bestrijding van cybercrime, eerder tegen het ANP.