Universiteit van Nottingham: datalek stelt 450.000 studentendossiers bloot

Universiteit van Nottingham: datalek stelt 450.000 studentendossiers bloot

De Universiteit van Nottingham heeft deze week bevestigd dat een hackersgroep met succes is binnengedrongen in haar studentenregistratiesysteem, waarbij de persoonlijke gegevens van meer dan 450.000 huidige studenten en alumni zijn blootgesteld. Het is een van de grootste datalekken ooit bij een Britse universiteit en het voegt zich in een groeiend patroon van aanvallen op instellingen voor hoger onderwijs aan beide zijden van de Atlantische Oceaan. Voor iedereen die ooit aan Nottingham heeft gestudeerd, is de boodschap duidelijk: je gegevens zijn niet langer in jouw controle.

De bescherming van studentendata bij universiteiten is niet langer een abstract probleem dat alleen IT-afdelingen aangaat. Het is een praktische kwestie die elke student, afgestudeerde en academische medewerker serieus moet nemen.

Wat er is blootgesteld bij het datalek van de Universiteit van Nottingham

Volgens de bevestiging van de universiteit gaf het lek aanvallers toegang tot het studentenregistratiesysteem van de instelling. Dit type systeem bevat doorgaans een breed scala aan persoonlijk identificeerbare informatie, zoals namen, adressen, geboortedata, contactgegevens, inschrijvingsgeschiedenis en in sommige gevallen financiële of academische gegevens. Het feit dat ook alumni worden getroffen, betekent dat de blootstellingsperiode jaren, mogelijk decennia, teruggaat en gevolgen heeft voor mensen die misschien al lange tijd geen contact meer hebben gehad met de universiteit.

De specifieke hackersgroep die verantwoordelijk is voor de inbraak is niet door de universiteit openbaar gemaakt en de volledige omvang van wat er is ingezien, wordt nog onderzocht. Wat wel bevestigd is, is de schaal: 450.000 records vormen een aanzienlijke dataset en dit soort gegevens wordt vaak verhandeld op darkweb-marktplaatsen of rechtstreeks gebruikt in phishingcampagnes en identiteitsfraude.

Waarom universiteiten steeds het doelwit zijn van hackers

Instellingen voor hoger onderwijs worden om verschillende structurele redenen onevenredig vaak aangevallen. Ten eerste beschikken ze over enorme hoeveelheden waardevolle persoonlijke gegevens van grote, wisselende groepen studenten en medewerkers. Ten tweede werken universiteiten vaak met decentrale IT-omgevingen, waarbij tientallen afdelingen, onderzoekseenheden en externe softwareplatforms elk een deel van die gegevens bevatten met verschillende niveaus van beveiligingstoezicht.

Dit probleem reikt veel verder dan het VK. De door de ShinyHunters-hackersgroep opgeëiste inbraak bij Instructure, het bedrijf achter het veelgebruikte Canvas-leermanagementsysteem, zou gegevens van bijna 9.000 onderwijsinstellingen hebben blootgesteld. Meer recentelijk dwong ShinyHunters de Canvas-portal van de Universiteit van Pennsylvania offline nadat ze beweerden gegevens van meer dan 300.000 aan Penn gelieerde personen te hebben gestolen. De Universiteit van Oxford heeft ook herhaaldelijk te maken gehad met incidenten, waaronder een inbraak in 2025 op een extern platform voor loopbaandiensten dat door de instelling werd gebruikt.

Het terugkerende thema is dat universiteiten moeite hebben om een breed, heterogeen aanvalsoppervlak te verdedigen. Hackers weten dit en blijven ervan profiteren.

Directe stappen die studenten en alumni moeten nemen na een datalek

Als je een huidige of voormalige student van Nottingham bent, behandel dit dan als een actieve dreiging en niet als achtergrondruis. Dit is wat je nu moet doen.

Controleer je e-mail goed. Verwacht phishingpogingen die afkomstig lijken te zijn van de universiteit of aanverwante diensten. Aanvallers die je echte naam, studentnummer en contactgegevens hebben, kunnen overtuigende lokmiddelen maken. Klik niet op links in ongevraagde e-mails waarin je wordt gevraagd om accountgegevens te verifiëren of wachtwoorden opnieuw in te stellen.

Wijzig wachtwoorden die zijn gekoppeld aan je universiteitsaccount en alle accounts die hetzelfde wachtwoord gebruiken. Hergebruik van wachtwoorden is een van de meest misbruikte kwetsbaarheden na een datalek. Als je Nottingham-inloggegevens of het e-mailadres dat aan dat account is gekoppeld elders worden gebruikt, werk die wachtwoorden dan nu bij.

Schakel multi-factor authenticatie (MFA) overal in waar dat kan. Zelfs als een aanvaller je inloggegevens heeft, voegt MFA een barrière toe die de meeste geautomatiseerde aanvallen stopt.

Houd je financiële rekeningen en kredietgeschiedenis in de gaten. Geboortedatum, adres en volledige naam zijn voldoende om identiteitsfraude te plegen. Overweeg om een fraudewaarschuwing te plaatsen bij kredietinformatiebureaus als je in het VK bent, of bij de nationale equivalent daarvan elders.

Let op vervolgcommunicatie van de universiteit. Instellingen zijn wettelijk verplicht om getroffen personen op de hoogte te stellen onder de AVG in het VK. Als je een officiële melding ontvangt, lees deze dan zorgvuldig voor specifieke informatie over welke gegevens erbij betrokken waren.

Hoe VPN's en cyberhygiëne je risico verkleinen als instellingen falen

Dataskandalen zoals deze onderstrepen een kernprincipe van de bescherming van persoonsgegevens: je kunt je privacy niet volledig uitbesteden aan de instellingen die jouw gegevens beheren. Universiteiten hebben wettelijke verplichtingen, maar zoals het incident in Nottingham aantoont, voorkomen die verplichtingen niet dat er lekken plaatsvinden.

Het opbouwen van je eigen beschermingslaag begint met gewoonten in plaats van tools. Door een wachtwoordmanager te gebruiken om unieke inloggegevens voor elke dienst te genereren en op te slaan, voorkom je de cascade van accountovernames die volgen op de meeste datalekken. Door je primaire e-mailadres gescheiden te houden van accounts die je gebruikt voor onderwijsplatforms, verklein je de impact als één dienst wordt gecompromitteerd.

Een VPN is het nuttigst als onderdeel van bredere hygiëne, vooral wanneer je gebruik maakt van gedeelde of openbare netwerken die veel voorkomen in universiteitsomgevingen. Het versleutelt je verkeer tussen je apparaat en de VPN-server, waardoor het moeilijker wordt voor aanvallers op hetzelfde netwerk om inloggegevens of sessietokens te onderscheppen. Het beschermt niet tegen server-side inbreuken zoals het incident in Nottingham, maar het verkleint wel je blootstelling in de omgevingen waar studenten zich vaak bevinden.

Naast VPN's is het verstandig om selectief te zijn met welke persoonlijke gegevens je deelt met welke instelling of platform dan ook. Het gebruik van een speciaal e-mailadres voor de universiteit, het opgeven van een postbus of campusadres in plaats van je huisadres waar mogelijk, en het controleren van welke apps van derden je hebt geautoriseerd via je universiteitslogin, zijn allemaal stappen die beperken hoeveel van je gegevens risico lopen bij één enkel datalek.

Het lopende onderzoek naar Instructure Canvas door de House Homeland Security Committee geeft aan dat toezichthouders meer aandacht besteden aan hoe educatieve technologieplatforms omgaan met studentgegevens. Maar regelgevend toezicht verloopt traag en de datalekken blijven plaatsvinden.

Wat dit voor jou betekent

Het datalek in Nottingham is geen op zichzelf staand incident. Het weerspiegelt een systemische kwetsbaarheid in de manier waarop instellingen voor hoger onderwijs studentgegevens verzamelen, opslaan en beschermen over lange perioden. Alumni die jaren geleden zijn afgestudeerd, worden nog steeds getroffen omdat universiteiten gegevens voor onbepaalde tijd bewaren.

De praktische conclusie is: bekijk vandaag nog je persoonlijke privacy-instellingen, niet pas na het volgende datalek. Controleer je wachtwoorden, schakel MFA in op elk account dat dit aanbiedt, en denk goed na over welke informatie je in de toekomst deelt met instellingen. Je universiteit bewaart misschien je gegevens, maar jij draagt de gevolgen als die gegevens worden gestolen.

Als je wilt begrijpen hoe wijdverbreid dit patroon is geworden in de onderwijssector, biedt de reeks Canvas-gerelateerde datalekken die hier worden behandeld een belangrijke context voor hoe vaak studentgegevens op grote schaal worden aangevallen.