Foto Shutterstock. Zo’n achttienduizend (oud)-medewerkers van WUR kregen vrijdag 10 januari een mail van afdeling HR. De applicatie waar zij hun cv of identiteitskaart in hebben geüpload bij indiensttreding bleek kwetsbaar, en niet voor de eerste keer. De kans op misbruik is klein, maar niet uitgesloten, laat HR weten.
Voor wie niet thuis is in de hackerswereld volgt nu een nieuwe term: de ethische hacker. Dat is iemand die er aardigheid in heeft software te kraken; zonder kwade bedoelingen, maar om organisaties te wijzen op kwetsbaarheden in hun ict-infrastructuur. In mei vorig jaar besloot zo’n ethische hacker zijn ‘goedbedoelde’ pijlen te richten op WUR.
Directeur HR Operations Brigitte Bancken: ‘Hij legde een datalek bloot bij ons. Het ging om een HR-toepassing van de software Mendix (MyHR), waar nieuwe medewerkers documenten als een paspoort of cv uploaden, via het digitale formulier ‘Nieuwe medewerker’. De hacker liet ons weten dat we kraakbaar waren met een script dat gewoon online beschikbaar was. Hij kon niet in ons systeem, maar hij kon wel bestanden bekijken die de nieuwe medewerker had geüpload maar – om wat voor reden dan ook – niet in één keer had ingediend. Het ging om gevoelige informatie zoals het Burger Service Nummer (BSN). Dan gaan alle alarmbellen af. Er waren zo’n 1.500 personen bij betrokken en die hebben we geïnformeerd. Er waren geen aanwijzingen van misbruik.’
Fixen
Hoewel de ethische hacker al in mei het gaatje in het systeem ontdekte, ging pas in januari een mail van WUR de deur uit naar achttienduizend (oud)-medewerkers over de kwetsbaarheid die was gevonden in het uploadsysteem. HR Privacy Officer Barthe Brinkman: ‘Klopt, maar die mail ging niet over mei. Toen hebben we het lek zelf gedicht met een aanpassing, zogenoemde ‘fix’. Vervolgens zijn we de kwetsbaarheden gaan onderzoeken en hebben we de persoonsgegevens die we opvroegen kritisch tegen het licht gehouden. Het bleek dat we best minder informatie konden vragen aan nieuwe medewerkers. Hoe minder gegevens je hebt, hoe kleiner de gevolgen zijn voor de betrokkene bij een datalek. Ook zijn we gaan kijken hoe we gegevens zo snel mogelijk weer kunnen verwijderen als we ze niet meer nodig hebben. Voor de zekerheid hebben we in december de proef op de som genomen en ook door een externe professional laten testen.’
Zowel in mei als in december hebben we geen aanwijzingen dat er documenten zijn gelekt, want wij kunnen up- en download-activiteiten zien
Dat gebeurde door een zogenoemde PEN-test te doen (‘pen’ staat voor penetration, red.), aldus Bancken: ‘Dat was een van de vervolgstappen die we in mei hadden afgesproken. Je kunt via een IT security-bedrijf zelf een hacker inhuren die jouw systeem test. Hij kan dus ook zelf een script ontwikkelen om te kijken of hij bij ons binnen kan komen. Dat bleek tot onze frustratie te kunnen. De hacker ontdekte dat als een nieuwe medewerker een document uploadde, hij kort live kon meekijken en eventueel aftappen voordat het document veilig was in ons WUR-systeem. Er was dus nog steeds kwetsbaarheid.’
Niet uitsluiten
HR deed een melding bij de Autoriteit Persoonsgegevens en het IT security team van WUR maakte een analyse. ‘Zij konden geen misbruik vinden, maar ook niet uitsluiten. In dat geval moeten we communiceren naar de betrokkenen en dat hebben we 10 januari gedaan naar 18 duizend (oud)-medewerkers die tussen 2018 en 2024 gebruik hebben gemaakt van dit formulier in MyHR/Mendix.’
Brinkman: ‘Zowel in mei als in december hebben we geen aanwijzingen dat er documenten zijn gelekt, want wij kunnen up- en download-activiteiten zien. Daar zagen we geen onregelmatigheden, bijvoorbeeld niet dat er plotseling 100 documenten worden gedownload.’
De Bedrijfsvoering Program Board van HR heeft besloten te stoppen met deze toepassing van Mendix. Hoe nu verder? Bancken: ‘Het blijft een worsteling. Het is niet van deze tijd om te zeggen: kom langs bij de balie, dan scannen wij de documenten. Voorlopig werken we sinds 16 december met een ‘workaround’, dus een tijdelijke oplossing. Een veiliger structurele oplossing heeft nu hoogste prioriteit.’
