Gegevens van 60.000 DUO-terugbetalers gelekt

Gegevens van 60.000 DUO-terugbetalers gelekt

Bij de Dienst Uitvoering Onderwijs (DUO) waren eind mei korte tijd de mailadressen van 60.000 personen met een studieschuld zichtbaar. Slecht beveiligde enquête-software van Survalyzer bleek hiervan de oorzaak. Alle data zijn inmiddels offline gehaald en het AP is geïnformeerd.

Een ethische hacker ontdekte op 31 mei dat de adressen van 60.000 ex-studenten met een schuld bij DUO online te vinden waren, schrijft BNR Nieuwsradio. Oorzaak van het datalek was een eerder die dag verstuurde enquête van DUO aan de getroffenen met vragen over hun financiële situatie.

De uitvoeringsdienst gebruikte hiervoor de software van de Zwitserse leverancier Survalyzer. Deze software bleek slecht beveiligd, waardoor de bewuste hacker inzicht kreeg in alle e-mailadressen waarnaar de mail was verstuurd. Omdat deze adressen vaak ook persoonlijke namen bevatten, kreeg hij hierdoor inzicht in tot individuele personen herleidbare gegevens.

Ook andere mailadressen inzichtelijk

Omdat DUO vaker met Survalyzer enquêtes verstuurt, waren ook e-mailadressen van onderwijsinstellingen, gemeenten en DUO-medewerkers zichtbaar. Zelfs het SecOps-team van DUO was blootgesteld aan het lek.

Reactie DUO en Survalyzer

De gevoelige data zijn direct op 31 mei offline gehaald na de melding van de ethische hacker. DUO heeft melding van het datalek gedaan bij de Autoriteit Persoonsgegevens. Survalyzer zelf heeft inmiddels een securityexpert ingeschakeld om het bewuste lek te onderzoeken. Op de websites van beide partijen is echter geen enkele referentie te vinden naar het bewuste datalek.

Lees ook: Overheidsdienst UWV schendt wederom het vertrouwen van werkzoekenden