door

Security Awareness Week

24/10/2022

Ik wilde een column schrijven over de nieuwe Times-ranking. De TU/e staat er weer niet goed op en houdt alleen Tilburg en Twente nog achter zich. Maar ik begrijp dat we het liever niet over deze ranking hebben. Ik begon met het vergelijken van de TU/e met MIT - wie noemde ons ooit ‘MIT aan de Dommel’? - om er toen achter te komen dat wij met drie keer minder medewerkers en tien keer minder budget evenveel studenten bedienen. Gefrustreerd ben ik maar security awareness enquêtes gaan invullen.

Maar liefst twee online enquêtes waren er opgezet en ik kreeg een mailtje van ‘securityawareness@tue.nl’, ofwel Martin de Vries, de Chief Information Security Officer van de TU/e, met het vriendelijke verzoek deze in te vullen. Die mail bevatte persoonlijke links naar een website van een externe partij (knwobe4.com), waar ik vervolgens met mijn TU/e logingegevens terecht kon.

Eenmaal ingelogd moest ik eerst mijn popup-blocker uitzetten om deel te kunnen nemen aan vragenlijsten vol dubbele ontkenningen. Maar goed, ik heb mijn plicht gedaan. Een van de vragen ging over hoe voorzichtig ik normaal met links in e-mail ben. Helaas kreeg ik niet te horen of ik alles goed had, wel heb ik een nieuwe mail gekregen met een link naar filmpjes van ‘The Inside Man’.

Een paar dagen later had ik mail in mijn mailbox van ‘databreaches@tue.nl’. Een mailadres dat helemaal niet bestaat, maar verwijst naar ‘privacy@tue.nl’. Blijkbaar is het toegangspasjessysteem van de TU/e uitbesteed aan een derde partij en die partij is gehackt. Enigszins achterdochtig lees ik de inhoud.

Ik zit een beetje te hopen dat dit een valse phishing mail is in het kader van de Security Awareness Week, aangezien er ook in deze mail links staan. Ik heb geleerd altijd goed te controleren waar die links naartoe gaan, maar dat lukt niet, want ze verwijzen beide naar tracking.tue.nl. We willen natuurlijk wel graag weten wie, wanneer op welke link klikt.

De hack blijkt helaas echt te zijn en een externe partij (ID-Ware) blijkt over een heleboel gegevens van mij te beschikken. Om een pasje af te drukken geeft de TU/e namelijk mijn medewerkersnummer, mijn naam, adres, woonplaats, geboorteplaats en privé e-mail aan ID-Ware. Er is ook goed nieuws. Mijn pasfoto hebben ze niet. Niet dat ze daar iets mee zouden kunnen, want op die twaalf jaar oude foto had ik nog haar.

Het verbaast me zeer dat de TU/e lustig rond lijkt te strooien met persoonsgegevens aan derden die die gegevens helemaal niet nodig hebben, laat staan op zouden moeten slaan. De echte databreach zit dus niet bij ID-Ware, maar bij de TU/e zelf. Ik denk dat het bestuur eens een cursus security awareness zou moeten doen.

Deel dit artikel