Over student J. zwerft nu álles rond op het darkweb door datalek school

Cybercriminelen braken in bij ROC Mondriaan in Den Haag, eisten 4 miljoen euro losgeld en dumpten allerlei persoonsgegevens van studenten en medewerkers op straat. Waarom trok de school pas na drie weken aan de bel? Een reconstructie. 
ROC Mondriaan in Den Haag. ©Hollandse Hoogte / VRPress

Het is zeer persoonlijke informatie die niemand zou mogen zien. Maar het staat al weken op internet. ‘E-mail van reclassering met mededeling dat J. verdachte is in een nieuwe zaak en voor minimaal veertien dagen in een huis van bewaring verblijft.’ De passage komt uit een van de twintig documenten vol gevoelige gegevens over J. (19). Hij heeft schulden, spijbelt, draagt een enkelband en maakte ruzie met een docent. ,,Ik voelde me bedreigd’’, zei die. 

J. is leerling van ROC Mondriaan uit de regio Den Haag. En slachtoffer van een datalek. Buitenlandse cybercriminelen legden de school in augustus plat. Computersystemen op de verschillende locaties waren onbruikbaar. E-mail en telefoons functioneerden niet meer en zelfs de koffieautomaten waren buiten gebruik. Maar de criminelen stalen ook zo’n 200.000 bestanden van de servers.

Al sinds half september liggen belangrijke en minder belangrijke persoonsgegevens van honderden medewerkers, stagiaires, freelancers en leerlingen van mbo-school ROC Mondriaan op straat, klaar om misbruikt te worden door criminelen. Van ogenschijnlijk onschuldige woonadressen en e-mailgegevens tot volledige curricula vitae, bankrekeningnummers en tientallen paspoorten van een deel van de 20.000 studenten, 5000 cursisten en 2100 medewerkers op de in totaal zo’n twintig vestigingen.

Ver­schil­len­de mappen en documenten die de criminelen van de servers van ROC Mondriaan plukten, zijn met één muisklik in te zien

ROC Mondriaan werd weliswaar overrompeld, maar lijkt ondanks de ernst traag te reageren. Het duurde drie weken voordat de slachtoffers een telefoontje kregen met de boodschap: je belangrijkste gegevens zijn voor iedereen ter wereld te bekijken.

Psst, vind je dit interessant?

Ontdek Topics nu 1 maand gratis en stel je eigen nieuwsoverzicht samen.

Lees 1 maand gratis

Al abonnee?

Log in en lees altijd gratis Topics.

Ontdekt

De cyberaanval op de onderwijsinstelling wordt in de nacht van 21 op 22 augustus ontdekt. Op 14 september, een week voor de start van het nieuwe schooljaar, onthullen de criminelen van de buitenlandse bende Vice Society alle gestolen data op hun website. Het is niet uitgesloten dat de persoonsgegevens op besloten, criminele fora al veel langer worden verhandeld, maar vanaf dat moment ligt al die informatie op straat.

Op een plek ‘waar geen mens ooit komt’, merkte bestuursvoorzitter Hans Schutte op in de Volkskrant. Dat is deels waar. De bende plaatste de gegevens op het darkweb: het minder toegankelijke deel van het internet, waar de tentakels van zoekmachine Google niet kunnen komen. Je vindt er drugs, wapens en kinderporno. Maar criminelen weten er wel de weg, en die vinden er een goudmijn aan gestolen gegevens.

Eén muisklik

We nemen een kijkje op het darkweb en zien de boodschap van Vice Society. Het leest als een advertentie voor potentiële kopers van de data. Het levert eenvoudig een beeld op van de grootte en ernst van het lek. Verschillende mappen en documenten die de criminelen van de servers van ROC Mondriaan plukten, zijn met één muisklik in te zien. Volgens de school zijn de belangrijkste systemen niet geraakt door de aanval: het leerlingvolgsysteem en het personeelsinformatiesysteem.

Op het eerste scherm zien we veertien mappen die de criminelen kopieerden vanaf de servers van de onderwijsinstelling, met Engels aandoende namen als ‘klass students’, ‘finanse’, ‘clients’, ‘personal data’, ‘staff’ en ‘incidents’. Ze bevatten heel veel en diverse informatie: van relatief onschuldig tot heel persoonlijk en risicovol voor identiteitsfraude.

In het ergste geval krijgen ze zelfs toegang tot jouw bank­trans­ac­ties

Tanya Wijngaarde

Na een paar muisklikken kunnen we incidentverslagen inzien. Een docente werd onwel tijdens de les en een leerling meldde zich met een pijnlijke schaafwond na een val met een skateboard. Er staan foto’s van dertig klassen met de pasfoto’s en namen van in totaal zo’n zeshonderd leerlingen.

Een karrenvracht aan persoonsgegevens is relatief eenvoudig te vinden. Wellicht niet door de buurvrouw of een nieuwsgierige kennis. Maar wel voor criminelen die de info willen gebruiken voor oplichtingspraktijken. Met alleen een gelekt telefoonnummer of e-mailadres zijn de risico’s nog te overzien. Maar van tientallen medewerkers, oud-medewerkers en sollicitanten stalen de criminelen de cv’s. Ze hebben daarmee een stevig pakket informatie in handen om hun phishingmails of WhatsAppfraude veel nauwkeuriger af te stemmen op de persoonlijke situatie van hun beoogde doelwit.

©Getty Images

De mensen wiens gegevens nu op internet rondzwerven moeten extra alert zijn, zegt Gina Doekhie, cybercrimespecialist bij de politie-eenheid Den Haag, die de hack met het private cybersecuritybedrijf NFIR onderzoekt. ,,Het is mogelijk dat ze die slachtoffers nu ook proberen te hacken. Let dus extra op hackpogingen en identiteitsfraude. En gebruik natuurlijk niet hetzelfde wachtwoord voor verschillende diensten en accounts.”

Met de (gecombineerde) gegevens kunnen criminelen heel veel. Denk aan het huren van een auto, een bankrekeningnummer aanvragen, dure spullen op een ander adres bestellen, abonnementen afsluiten of zelfs een lening aangaan. ,,In het ergste geval krijgen ze zelfs toegang tot jouw banktransacties”, zegt Tanya Wijngaarde, woordvoerder van de Fraudehelpdesk.

Hoe langer we op het darkweb zoeken, hoe gevoeliger de informatie wordt

Wangedrag

Hoe langer we op het darkweb zoeken, hoe gevoeliger de informatie wordt. Van leerlingen ontvreemdden de criminelen lijsten met achternamen en bedragen van wanbetalers. En zo’n twintig brieven aan leerlingen over hun wangedrag: van officiële waarschuwingen voor het roken van een joint of het intikken van het ruitje van het brandalarm tot schorsingen vanwege vechtpartijen of zelfs intimiderend gedrag naar een docente. De ‘daders’ staan er met hun volledige naam en huisadres in. Van docenten lekten de criminelen overzichten van alle ziekmeldingen vanaf schooljaar 2009-2010. Een docent kreeg een onderzoek aan z’n broek naar mogelijke examenfraude. De man zou volgens een klagende leerling de examenuitslag van tenminste twee andere leerlingen onterecht hebben verhoogd.

ROC Mondriaan communiceerde vrij uitgebreid over het lek. Maar niet alle slachtoffers blijken gewaarschuwd. Zo weet de 19-jarige leerling én delinquent J. – van wie de criminelen een heel gevoelig dossier stalen – volgens zijn broer nog van niks. Het mobiele nummer van zijn reclasseringsambtenaar is ook te vinden. Ook hij is nog niet geïnformeerd.

Ik had veel eerder alles kunnen blokkeren

Voormalige freelance docente

Niet geïnformeerd

Sanne van der Sluijs (22) uit Delft liep vorig jaar stage op de school. We kunnen haar bellen omdat haar telefoonnummer op een inschrijfformulier staat. En we vinden de jackpot voor criminelen: haar nog geldige paspoort staat al weken online. Ook zij wist nog van niets. ROC Mondriaan had haar nog niet geïnformeerd.

Het paspoort van een voormalige freelance docente zit er eveneens tussen. Ze wil vanwege de relatie met de school anoniem blijven. Vanaf het moment dat de school haar op 5 oktober belde over het datalek - drie weken nadat criminelen haar persoonsgegevens openbaar maakten - maakt ze zich zorgen. Want welke informatie gaat nu rond op het darkweb en wat moet je er aan doen?

De vrouw hoorde tijdens het telefoontje niet precies welke data van haar zijn uitgelekt. ,,En je weet niet waar je op zo’n moment naar moet vragen.” Dat niet alleen een afbeelding van haar paspoort online staat, maar ook een detacheringscontract met haar bankrekeningnummer was dus nog niet tot haar doorgedrongen. Ze is ‘erg teleurgesteld’ dat het drie weken duurde voordat ze een telefoontje kreeg van ROC Mondriaan. ,,Ik had veel eerder alles kunnen blokkeren.” De vrouw zegt wel dat ze sinds dat eerste contact de zorgzaamheid van de school heeft gevoeld. ,,Ik ben heel zorgvuldig behandeld en heb er alle vertrouwen in dat ROC Mondriaan het goed oplost.”

Geen precieze deadlines

Maar hoe snel moet je slachtoffers inlichten? Een datalek moet binnen 72 uur worden gemeld aan de Autoriteit Persoonsgegevens (AP), dat is helder. Maar voor het informeren van slachtoffers schrijven de regels geen precieze deadlines voor, zegt Jan-Jan Lowijs, privacyexpert van Deloitte. Het moet ‘onverwijld’, dus zo snel mogelijk. Dat is de enige instructie.

Deze site had binnen een halve dag alle gegevens gevonden die in dit artikel worden beschreven. ROC Mondriaan trok pas na drie weken bij de meeste slachtoffers aan de bel, maar zegt dat niet eerder kon: ,,Omdat we niet eerder een goed beeld hadden van de aard en omvang van de gepubliceerde info”, aldus een woordvoerder. ,,Dat deden we zo snel mogelijk, maar zeker ook zorgvuldig. Wij zijn al vanaf begin oktober bezig met het persoonlijk bellen van mensen. Dat vraagt ook zorgvuldigheid, mensen vertrouwen ons telefoontje logischerwijze niet direct en er is vaak meerdere malen contact.”

Ik vind het moeilijk in te schatten wat ze ermee kunnen

Oud-stagiaire Van der Sluijs

Pas nadat de criminelen de data op 14 september onthulden, kon het ingehuurde cybersecuritybedrijf volgens hem aan de slag om de informatie veilig te downloaden en analyseren. Hij beaamt dat ‘enkele tientallen’ identiteitsbewijzen zijn gelekt. En dat nog niet alle betrokkenen zijn bereikt. Dat leerling J. nog niets van het lek weet, komt doordat eerst is gefocust op de identiteitsbewijzen. ,,Naar de andere gegevens moeten we nog goed kijken.”

Veel slachtoffers lijken het gevaar niet helemaal te zien. ,,Ik vind het moeilijk in te schatten wat ze ermee kunnen”, zegt oud-stagiaire Van der Sluijs. De Rotterdamse docent Olaf Schut (52) realiseert zich wel dat criminelen met al zijn gegevens bijvoorbeeld een online bankrekening zouden kunnen openen op zijn naam. Toch vindt hij het lek ‘niet zo spannend’. ,,Bij mij is het grote geld niet te halen.” Hij schrikt wel wanneer hij hoort dat niet alleen z’n paspoort, maar ook z’n bankrekeningnummer en cv met woonadres zijn gelekt. Die details had hij nog niet van ROC Mondriaan gekregen. ,,O jee, is dat allemaal te zien?”

©Getty Images

Oud-stagiair Sander Vis (45) uit Naaldwijk vroeg met spoed een nieuw paspoort aan. ,,Er kwam vast veel op de school af”, zegt hij begripvol. ,,Ik denk dat mijn relatie met het ROC daarin een rol speelt. Ik heb er heel fijn gewerkt.” Als hij hoort dat ook zijn burgerservicenummer, bankrekeningnummer en thuisadres online staan, is het kort stil. ,,Goh.”

Oud-stagiaire Van der Sluijs belt na ons telefoontje met ROC Mondriaan. Haar paspoort stond opgeslagen als WhatsApp-afbeelding, daarom had de school die over het hoofd gezien. De instelling zal de database opnieuw uitpluizen, hoorde ze. Een afspraak voor een nieuw identiteitsdocument is inmiddels gemaakt. Toen ze bij de gemeente hoorden wat de reden van de aanvraag was, kreeg ze voorrang en kon ze een dag later terecht. ROC Mondriaan betaalt alle slachtoffers daarvoor 150 euro.

Onderbezet

Tijdens zo’n aanval als bij ROC Mondriaan is er al snel hulp van een cybersecuritybedrijf bij het herstellen van de beveiliging, maar hulp bij het afhandelen van het datalek lijkt nog niet helemaal op orde te zijn. De politie richt zich op het onderzoek en de Autoriteit Persoonsgegevens – zwaar onderbemand en met te weinig budget – kan zich hooguit op de zwaarste zaken richten. In veel gevallen moet een getroffen bedrijf het dus met dringende adviezen en enkele richtlijnen doen.

,,Bij ernstige datalekken monitort de AP de situatie’’, laat het weten. ,,Zij controleert of de organisatie waar het lek plaatsvond de juiste stappen neemt, en stuurt bij waar nodig. Bijvoorbeeld waar het gaat om het informeren van de getroffen mensen, en door de organisatie te wijzen op de te nemen beveiligingsmaatregelen.”

Eerdere hacks

In het verleden waren onder andere de Universiteit Maastricht en de Hogeschool van Arnhem en Nijmegen doelwit van een hack. De universiteit betaalde zelfs bijna 200.000 euro aan bitcoins om weer toegang te krijgen tot de eigen systemen.

Volgens de bende Vice Society staan alle gestolen data van ROC Mondriaan nu online. Althans, dat antwoordt iemand die namens de digitale inbrekers het woord voert wanneer we vragen mailen naar het e-mailadres dat op het darkweb staat. Hebben ze meer data? En hoe kwamen ze binnen? ‘We publiceren altijd alle data die is gedownload. We zeggen niets over hoe we toegang krijgen of hoe we werken’, zo luidt het antwoord in vertaling.

Er gaan geruchten dat ROC Mondriaan toch (een deel van de) geëiste 4 miljoen euro losgeld heeft betaald. Onzin, aldus de onbekende mailer: ‘Als je iemand aantreft op onze website, dan betekent dit dat degene niet heeft betaald.’

Bekijk onze nieuwsvideo’s in onderstaande playlist: