De Hogeschool van Arnhem en Nijmegen moet 175.000 euro betalen aan de Autoriteit Persoonsgegevens wegens gebrekkige beveiliging van studentengegevens. Een hacker stal deze data in 2021 via een SQL-injectie persoonlijke data.

De Nederlandse privacytoezichthouder startte een onderzoek na een datalek bij de HAN in 2021. De aanvaller stal persoonsgegevens zoals naw-data, wachtwoorden, cv’s en BSN-nummers. De hacker probeerde de hogeschool af te persen voor omgerekend 165.000 euro in bitcoin, maar de HAN ging niet op het dreigement in. Echter was de onderliggende ondermaatse beveiliging van persoonsgegevens wel een kapitale fout. Het kost de HAN nu een zeer vergelijkbaar bedrag, maar aan een legitieme instantie.

Bekende kwetsbaarheid niet verholpen

Via een SQL-injectie in een webformulier kreeg de hacker toegang tot een databaseserver met meerdere databases. De HAN wist dat deze kwetsbaarheid bestond, maar nam onvoldoende maatregelen om zich ertegen te beschermen. Een SQL-injectie zoals de hacker het uitvoerde is al sinds 1998 een bekend probleem.

“De HAN heeft vervolgens desgevraagd aan de AP verklaard dat haar programmeurs zich bewust waren van het risico van SQL-injectie en dat daarover een zogenoemd bestpracticesbeleid bestond”, aldus de AP. Toch had de hogeschool geen risicoanalyse opgesteld en kon ze niet aantonen dat het beleid werd nageleefd.

Daarnaast was het databasebeheer ondermaats. Het loggen en monitoren van toegang was ontoereikend. De server registreerde alleen abnormaal lange query’s of verzoeken die veel records tegelijk opvroegen. Hierdoor bleef de aanval onopgemerkt. “De AP heeft kunnen vaststellen dat er twee keer eerder sprake was van een SQL-injectie, terwijl de HAN dat zelf niet heeft opgemerkt”, schrijft de toezichthouder.

Ook het toegangsbeheer faalde. De HAN had weliswaar beleid om accounts te beperken, maar dat werd niet goed toegepast. Uiteindelijk bleek een gebruiker alle rechten op de database te hebben. Een verwijderingsbeleid voor oude data bestond, maar ook dat werd niet consequent nageleefd.

Duizenden onversleutelde wachtwoorden

De HAN bewaarde 4.381 wachtwoorden onversleuteld in de database. Nog eens 5.194 wachtwoorden waren opgeslagen met een MD5- of SHA1-hash, algoritmes die al jaren als onveilig gelden. Het ging om oude data waarvan de hogeschool zich niet realiseerde dat die nog aanwezig waren.

Door deze praktijken overtrad de HAN artikel 32 van de AVG op meerdere punten. Dat artikel vereist adequate beveiliging van gegevens. De hogeschool erkende de overtredingen. De AP prijst de onderwijsinstelling wel voor haar reactie op de bevindingen. “Tijdens en na het onderzoek heeft de HAN ten aanzien van de hierboven geconstateerde tekortkomingen, aan de AP toegelicht welke herstelacties zij heeft uitgevoerd om de geconstateerde tekortkomingen te verhelpen.”

Die medewerking leidde tot matiging van de boete. De basisboete voor zo’n overtreding bedraagt 310.000 euro en kan oplopen tot een half miljoen euro. De AP verlaagde het bedrag naar 175.000 euro. “Concluderend stelt de AP vast dat de HAN zich actief heeft ingezet om de gevolgen voor betrokkenen in kaart te brengen, de kwalificaties daarvan ruim op te vatten en de gevolgen waar mogelijk weg te nemen.”

In 2024 steeg het totaal aan AVG-boetes in Nederland tot 338,6 miljoen euro, vergeleken met 180.000 euro in 2023. SQL-injectie blijft een veelvoorkomende oorzaak van datalekken. Organisaties die dergelijke kwetsbaarheden niet verhelpen, riskeren boetes tot 20 miljoen euro of 4 procent van de wereldwijde omzet.

