Welk type persoonlijke informatie is blootgesteld bij het datalek bij Tulane University?

Het lek stelde namen, burgerservicenummers en bankgegevens van getroffen personen bloot. Deze combinatie van gegevens kan identiteitsfraude, directe financiële diefstal en het openen van frauduleuze rekeningen mogelijk maken.

Hoe kregen aanvallers toegang tot het HR-systeem van Tulane University?

Aanvallers maakten misbruik van een kwetsbaarheid in een Oracle-platform dat Tulane University gebruikte voor het beheer van HR-systeembestanden. De fout in de onderliggende Oracle-software maakte de instelling tot een potentieel doelwit.

Welk juridisch kantoor onderzoekt het datalek bij Tulane University?

Edelson Lechtzin LLP onderzoekt het incident namens gedupeerde personen. Het lek heeft een mogelijke class action-rechtszaak in gang gezet.

Waarom worden HR- en salarissystemen beschouwd als waardevolle doelwitten voor cybercriminelen?

HR- en salarisplatformen bundelen identiteitsdocumenten, belastinggegevens, rekeninggegevens voor automatische betalingen en arbeidsverleden op één plek, waardoor ze zeer aantrekkelijk zijn voor aanvallers. Criminelen kunnen deze gegevens te gelde maken via identiteitsdiefstal, belastingfraude of door ze te verkopen op darkwebmarkten.

Waarom zijn universiteiten bijzonder kwetsbaar voor dit type lek?

Universiteiten stellen grote, diverse populaties tewerk verspreid over vele afdelingen met wisselende niveaus van IT-toezicht, wat een breed aanvalsoppervlak creëert. Bovendien introduceert externe enterprise-software zoals Oracle extra risico, omdat één enkele kwetsbaarheid elke instelling kan treffen die dat platform gebruikt.

Tulane University Oracle HR-datalek legt BSN's en bankgegevens bloot

Een datalek bij Tulane University heeft een mogelijke class action-rechtszaak in gang gezet nadat onbevoegden een kwetsbaarheid in een Oracle-platform hebben misbruikt om toegang te krijgen tot HR-systeembestanden. Het lek stelde uiterst gevoelige persoonlijke informatie bloot, waaronder namen, burgerservicenummers en bankgegevens. Juridisch kantoor Edelson Lechtzin LLP onderzoekt het incident namens gedupeerde personen. Voor iedereen die worstelt met zorgen rondom persoonlijke gegevensbescherming bij universitaire datalekken is deze zaak een duidelijke herinnering dat zelfs goed gefinancierde instellingen mensen kunnen blootstellen aan risico's waar zij zelf geen schuld aan hebben.

Wat het Tulane-lek blootlegde en hoe aanvallers toegang kregen

Volgens de door Tulane University bevestigde informatie maakten aanvallers misbruik van een kwetsbaarheid in een Oracle-platform dat werd gebruikt voor het beheer van HR-systeembestanden. Oracle-producten zijn wijdverspreid in gebruik bij grote organisaties voor enterprise resource planning, salarisverwerking en personeelsbeheer. Wanneer er een fout bestaat in dat onderliggende platform, wordt elke instelling die het gebruikt een potentieel doelwit.

De bij dit lek blootgestelde gegevens behoren tot de meest schadelijke categorieën die een aanvaller kan bemachtigen. Burgerservicenummers kunnen jarenlang worden gebruikt voor identiteitsfraude. Bankgegevens openen de deur naar directe financiële diefstal. Volledige namen die aan beide worden gekoppeld, bieden alles wat nodig is om iemand te imiteren of frauduleuze rekeningen op zijn of haar naam te openen. Gedupeerde personen hebben er niet voor gekozen om deze gegevens op te slaan in het Oracle-systeem van derden van Tulane. Zij waren daartoe verplicht als voorwaarde voor hun aanstelling of inschrijving.

Waarom HR- en salarissystemen waardevolle doelwitten zijn

HR- en salarisplatformen behoren tot de aantrekkelijkste doelwitten voor cybercriminelen, juist vanwege wat ze bevatten. Anders dan een retaildatabase met aankoopgeschiedenissen, bundelt een HR-systeem identiteitsdocumenten, belastinggegevens, rekeninggegevens voor automatische betalingen en arbeidsverleden op één plek. Aanvallers kunnen die gegevens te gelde maken via identiteitsdiefstal, belastingfraude of verkoop op darkwebmarkten.

Instellingen voor hoger onderwijs hebben te maken met een bijkomend probleem. Universiteiten stellen grote, diverse populaties tewerk — waaronder docenten, medewerkers, aannemers en studentmedewerkers — en ze werken vaak verspreid over tientallen afdelingen met wisselende niveaus van IT-toezicht. Externe enterprise-softwareleveranciers zoals Oracle introduceren extra risico, omdat één enkele kwetsbaarheid in de code van de leverancier kan doorwerken naar elke klant die dat platform gebruikt. Het aanvalsoppervlak is niet alleen de universiteit zelf; het zijn alle gebruikers van dezelfde softwarestack.

Dit is geen geïsoleerd patroon. Zoals te zien bij het Stryker-datalek, richten aanvallers zich in toenemende mate op de enterprise-softwarelaag in plaats van individuele organisaties direct aan te vallen. Wanneer een veelgebruikt platform een fout bevat, kan het eenmalig misbruiken daarvan gegevens opleveren van duizenden mensen bij meerdere organisaties.

Wat gedupeerde personen kunnen doen wanneer organisaties hen in de steek laten

Wanneer een instelling waarbij u verplicht bent gegevens te delen slachtoffer wordt van een lek, zijn uw opties beperkt maar niet nihil. De eerste stap is bevestigen of u getroffen bent. Tulane zal naar verwachting personen rechtstreeks informeren, maar als u een huidige of voormalige medewerker of student bent en nog geen bericht heeft ontvangen, is het redelijk om contact op te nemen met het afdeling gegevensbescherming of HR van de universiteit.

Zodra de blootstelling is bevestigd, zijn de volgende stappen praktisch en urgent:

Vraag een kredietbevriezing aan bij alle drie de grote kredietbureaus (Equifax, Experian, TransUnion). Een bevriezing voorkomt dat er nieuwe kredietrekeningen op uw naam worden geopend zonder uw uitdrukkelijke toestemming, en het is gratis.
Stel fraudemeldingen in als extra laag die kredietverstrekkers waarschuwt om de identiteit te verifiëren voordat krediet wordt verstrekt.
Controleer bankrekeningen nauwlettend op ongeautoriseerde transacties, vooral als bankgegevens zijn bevestigd als onderdeel van de blootgestelde informatie.
Dien uw belastingaangifte vroeg in als u een melding ontvangt over blootstelling van uw burgerservicenummer. Belastingidentiteitsfraude — waarbij een crimineel een aangifte indient met uw BSN om een teruggave te claimen — komt veelvuldig voor na dit soort lekken.
Bewaar alle correspondentie van de universiteit over het lek. Als de class action-rechtszaak doorgaat, kan het relevant zijn om vast te leggen wat u is meegedeeld en wanneer.

De mogelijke class action-rechtszaak van Edelson Lechtzin LLP kan financieel verhaal bieden, maar juridische uitkomsten vergen tijd. Persoonlijke beschermende maatregelen mogen niet wachten op de uitkomst van een rechtszaak.

Lessen voor persoonlijke gegevensbeveiliging: VPN's, monitoring en meer

Dit lek benadrukt een fundamenteel probleem met betrekking tot persoonlijke gegevensbescherming bij universitaire datalekken: de meest gevoelige gegevens die over u worden bijgehouden, bevinden zich vaak in systemen waar u geen zicht op heeft en geen controle over heeft. U kunt de beveiligingspraktijken van Oracle niet controleren. U kunt niet kiezen welke leverancier uw werkgever gebruikt. Wat u wél kunt beheersen, is hoe snel u problemen detecteert en hoe goed u verdere blootstelling beperkt.

Een paar gelaagde beveiligingsgewoonten verminderen uw risicoprofiel na een lek aanzienlijk:

Gebruik een betrouwbare identiteitsmonitoringservice die controleert of uw BSN, e-mailadressen en financiële rekeningen verschijnen in lekdatabases of op darkwebfora.
Schakel meerfactorauthenticatie in op elke financiële en e-mailaccount. Als aanvallers elders uw inloggegevens bemachtigen en proberen die te koppelen aan gegevens uit dit lek, blokkeert MFA geautomatiseerde inlogpogingen.
Gebruik een VPN op openbare netwerken om opportunistische onderschepping van inloggegevens te voorkomen, vooral als u na een lekmelding reist of op afstand werkt. Hoewel een VPN een reeds gecompromitteerd BSN niet ongedaan maakt, voorkomt het extra blootstelling van uw inloggegevens terwijl u herstelmaatregelen neemt.
Scheid financiële rekeningen waar mogelijk. Als de bankgegevens in het HR-systeem van Tulane verwijzen naar een primaire rekening, overweeg dan om voor toekomstige automatische betalingen een aparte rekening te openen, zodat de impact van een eventueel toekomstig incident beperkt blijft.

De werkelijkheid, geïllustreerd door gevallen als Tulane en het Stryker-lek, is dat het toevertrouwen van gevoelige gegevens aan instellingen inherente risico's met zich meebrengt, omdat hun beveiligingsniveau grotendeels buiten uw controle ligt. Dat betekent niet dat u machteloos bent. Het betekent dat u persoonlijke beveiligingsgewoonten opbouwt die ervan uitgaan dat een lek uiteindelijk zal plaatsvinden en u voorbereiden om snel te reageren.

Wat dit voor u betekent

Als u een huidige of voormalige medewerker of student van Tulane bent, behandel dit dan als een actieve situatie die onmiddellijk actie vereist — niet als een nieuwsbericht om passief te volgen. Vraag nu kredietbevriezingen aan, controleer uw bankrekeningen en let op meldingen van de universiteit. Als u denkt dat u mogelijk getroffen bent en nog niets van Tulane heeft vernomen, neem dan rechtstreeks contact op.

Meer in het algemeen bevestigt deze zaak dat kwetsbaarheden in enterprise-software risico's creëren die zich ver voorbij een enkele organisatie verspreiden. Elke instelling die Oracle HR-producten of vergelijkbare platforms gebruikt, vertegenwoordigt een potentieel doelwit. Het herzien van uw persoonlijke beveiligingsinstellingen — inclusief kredietmonitoring, meerfactorauthenticatie en scheiding van rekeningen — is de moeite waard, ongeacht of u een lekmelding heeft ontvangen.

Datalekken op institutioneel niveau liggen grotendeels buiten uw invloed. Hoe snel u reageert en hoe gelaagd uw persoonlijke verdediging is, is dat niet.