Data-veiligheidsincident bij leverancier Blackbaud

De Universiteit Utrecht is geïnformeerd door Blackbaud, een externe leverancier, over een datasecurity-incident. Blackbaud is wereldwijd de grootste leverancier van Customer Relation Managementsystemen (CRM) voor onderwijsinstellingen en organisaties in de non-profitsector. Naar onze informatie heeft dit incident een groot aantal onderwijsinstellingen wereldwijd geraakt, de Universiteit Utrecht is daar één van.

De Universiteit Utrecht gebruikt het relatiemanagement systeem van Blackbaud om de contacten met alumni, donateurs en relaties te registreren. Wij nemen onze verantwoordelijkheid voor het beschermen van data zeer serieus. Meteen nadat Blackbaud ons informeerde, zijn we ons eigen onderzoek gestart naar de aard en omvang van het incident en welke data van onze universiteit hierbij betrokken zijn. Meer informatie daarover tref je onderstaand aan, inclusief de stappen die wij hebben ondernomen.

Wat is er gebeurd?

Op 16 juli zijn wij geïnformeerd door Blackbaud dat het bedrijf geraakt is door een cyberaanval. Bekijk het statement van Blackbaud. Er is bij de aanval, die tussen 7 februari en 20 mei plaatsvond, een verouderd databestand van de Universiteit Utrecht in handen van onbevoegden gekomen. Wij betreuren dit zeer.

Blackbaud meldt ons dat het bedrijf bevestiging heeft ontvangen dat de hackers de betreffende data inmiddels hebben vernietigd en meldt dat er geen aanleiding is om aan te nemen dat zij de data hebben verspreid.

De Universiteit Utrecht stond de afgelopen weken in nauw contact met het management van Blackbaud om inzicht te verkrijgen in welke data bij het incident betrokken zijn teneinde betrokkenen zo snel als mogelijk goed en volledig te informeren. We verwachten in de loop van dinsdag 11 augustus of woensdag 12 augustus inzage te verkrijgen in de informatie.

Welke data betreft het?

Door de geslaagde ransomware-aanval hebben hackers in het geval van de Universiteit Utrecht toegang gekregen tot een oude back-up uit 2017 die onbedoeld nog in de omgeving van Blackbaud stond. Daardoor zijn naar alle waarschijnlijkheid de volgende gegevens van alumni, donateurs en relaties in handen van de hackers gekomen:

• (gebruikers)naam, geslacht, geboortedatum, nationaliteit en taal
• contactgegevens: e-mailadres, telefoonnummer, postadres
• informatie over evenementbezoek en donatiegedrag
• bij alumni betreft het ook opleidings- en loopbaangegevens

Bankgegevens en wachtwoorden waren niet toegankelijk voor de hackers, omdat deze versleuteld waren.

Wat zijn de mogelijke gevolgen van de aanval?

Blackbaud heeft ons geïnformeerd dat onderzoek is verricht naar het incident, ook door een onafhankelijk specialist. Het bedrijf heeft bevestiging ontvangen dat de hackers de betreffende back-up met data hebben vernietigd en meldt dat er geen aanleiding is om aan te nemen dat zij de data hebben verspreid. Gezien het grote aantal onderwijsinstellingen en stichtingen dat wereldwijd is getroffen door dit incident, hebben wij geen reden om aan te nemen dat dat de cyberaanval specifiek op de Universiteit Utrecht of onze contacten gericht was. Daarom schatten wij de waarschijnlijkheid van eventuele risico’s voor de privacy van betrokkenen momenteel in als laag.

Welke actie hebben wij ondernomen?

Wij trekken bij de afwikkeling van het incident en de te nemen vervolgstappen op met andere getroffen universiteiten, waaronder de TU Delft.  

• We staan sinds 16 juli 2020 in nauw contact met het management van Blackbaud. Daarbij geven wij momenteel prioriteit aan het verkrijgen van de informatie die wij als UU nodig hebben om betrokkenen goed en volledig te informeren.
• We hebben binnen 72 uur nadat Blackbaud ons informeerde, melding gedaan bij de Autoriteit Persoonsgegevens. Dit was op 17 juli.
• We onderzoeken waarom er nog een verouderde back-up van de Universiteit Utrecht op de server van Blackbaud stond.
• We zoeken uit wat de oorzaak is van de vertraging tussen de cyberaanval en het moment waarop Blackbaud ons daarover informeerde, en welke stappen het bedrijf zet om de veiligheid van hun systemen te verbeteren.
• Wij gaan de samenwerking met Blackbaud evalueren en onderzoeken of dit incident resulteert in vervolgstappen richting Blackbaud.
• We bekijken welke consequenties dit heeft voor de wijze waarop we intern onze CRM-database hebben georganiseerd.

Wat kan jij doen?

De getroffen personen zullen van ons bericht ontvangen zodra wij van Blackbaud de benodigde data hebben ontvangen. Tot die tijd weten wij niet welke relaties door dit incident getroffen zijn. Wel staat vast dat wie is afgestudeerd na april 2017, in ieder geval niet getroffen is. Op welke termijn betrokkenen bericht ontvangen, is afhankelijk van de snelheid waarmee wij de benodigde informatie van Blackbaud ontvangen.

Je hoeft naar aanleiding van dit incident geen actie te ondernemen. Wel vragen we iedereen om altijd alert te zijn op verdachte berichten of transacties en alleen e-mails te openen en beantwoorden van een betrouwbare bron. We vragen bovendien om verdachte situaties te melden. Dat kan bij het Computer Emergency Response Team van de Universiteit Utrecht via cert@uu.nl.