TU Eindhoven maakt zichzelf onnodig kwetsbaar voor cyberaanvallen

In dit artikel:

Bij de Technische Universiteit Eindhoven (TU/e) is via het Microsoft Azure-platform persoonlijke en gevoelige informatie van meer dan 44.000 studenten, hoogleraren en medewerkers eenvoudig toegankelijk. Twee studenten toonden aan dat zij met slechts enkele klikken namen, contactgegevens, functietitels en zelfs details over gebruikte apparaten en wachtwoordactiviteiten konden downloaden. Deze databank bevat ook informatie over externe samenwerkingspartners zoals ASML, NXP, defensie en de politie. Experts waarschuwen dat zulke openheid een aantrekkelijk doelwit vormt voor cybercriminelen en buitenlandse spionagediensten, zeker gezien de strategische positie van de TU/e in cruciale technologiegebieden als halfgeleiders, nucleaire fusie en kwantumcomputing.

De cyberveiligheid blijkt kwetsbaar omdat onder meer wachtwoordwijzigingen inzichtelijk zijn en de automatische functie die gebruikers verplicht wachtwoorden regelmatig te vernieuwen, is uitgeschakeld. Hoewel er sinds 2021 multi-factor authenticatie is geïmplementeerd, vinden specialisten dit onvoldoende om alle risico’s te voorkomen. Vorig jaar drongen hackers al binnen via op het dark web gelekte inloggegevens, wat leidde tot een weeklange uitval van het netwerk vlak voor tentamens. Desondanks heeft de universiteit naar verluidt geen doeltreffende maatregelen genomen om het probleem van brede datatoegang te beperken.

De TU/e erkent dat de Microsoft Azure-omgeving meer informatie deelt dan wenselijk, maar stelt dat het technisch onmogelijk is om deze gegevens af te schermen zonder belangrijke functionaliteiten te verliezen. Na signalen van studenten en de Autoriteit Persoonsgegevens in 2023 werd het gebruik van Azure voortgezet, zij het met bewustzijn over de risico’s. Veiligheidsexperts vinden dat de instelling onvoldoende beschermt tegen potentiële spionage of sabotage, waarbij buitenlandse mogendheden zoals China, Rusland en Iran mogelijk studenten inschakelen om gevoelige kennis te verkrijgen.

Daarnaast vormt de vrijgave van details over gebruikte apparaten en verouderde besturingssystemen een extra kwetsbaarheid, omdat die informatie kwaadwillenden kan helpen met gerichte spyware-aanvallen. De combinatie van open databanken, inzicht in wachtwoordstatussen en het ontbreken van strikte controle waarmee gebruikers accounts regelmatig moeten beveiligen, maakt de TU/e en haar medewerkers bijzonder vatbaar voor inbreuk.

Kortom, hoewel de TU/e zich profileert als innovatieve “chipuniversiteit” met nauwe banden in de defensie- en technologiesector, blijkt de informatieveiligheid nu ontoereikend. Het vrij toegankelijke karakter van gevoelige persoonsgegevens en technische details opent de deur voor ernstige cyberdreigingen en spionage, terwijl eerdere incidenten weinig concrete beveiligingsverbeteringen opleverden. Volgens betrokken experts dient de universiteit dringend haar databeheer te herzien om het risico voor nationale veiligheid en intellectuele eigendom te beperken.