Volgens het AD, dat het nieuws zaterdag bracht, waren het waarschijnlijk Russische hackers die de server binnendrongen. Ze zouden de gestolen informatie hebben 'doorgespeeld of verkocht aan de Iraanse Arvin Club'. Die heeft een deel van de adressen en data inmiddels gepubliceerd. Als de universiteit niet bereid is om 16 bitcoins (ruim 450.000 euro) te betalen, wordt er nog meer informatie online gezet.

Leiden zegt tegen het AD dat het niet op de eisen ingaat. Het risico op identiteitsfraude zou klein zijn en ook de gestolen onderzoeksdata zijn niet geheim.

Geen ransomware

De universiteit laat het AD weten dat de server zes maanden geleden ook al werd gehackt en nog altijd onvoldoende beveiligd was. De server stond echter los van de universitaire ict-omgeving.

Er is geen sprake van een ransomware-aanval, zoals in december 2019 bij de Universiteit Maastricht. Daarbij worden computersystemen door criminelen versleuteld en krijgen de eigenaren pas weer toegang als ze losgeld betalen. In Leiden zou dat niet aan de orde zijn en functioneren de systemen naar behoren.

Minister Ingrid van Engelshoven toonde zich onlangs nog tevreden over de gezamenlijke stappen die universiteiten en hogescholen zetten om hun digitale veiligheid te verbeteren.