Cyberaanval treft voormalig leverancier schoolboeken van het Gomarus College
Op donderdag 11 april 2024 is Iddink Learning Materials BV getroffen door een cyberaanval. Iddink is leverancier van schoolboeken, (digitaal) leermateriaal en schoolspullen. In het verleden heeft onze school van deze leverancier boeken en materiaal afgenomen.
Wat is er gebeurd?
In de schooljaren 2019-2020 en 2020-2021 heeft het Gomarus College boeken en materiaal afgenomen van Iddink Learning Materials BV. Bij de cyberaanval zijn hackers in de database van Iddink gekomen. In deze database staat informatie over bestellingen en leveringen van lesmateriaal. Het is nog niet duidelijk of alleen de huidige klantgegevens van Iddink zijn gehackt of dat het ook gegevens van eerdere jaren betreft.
Het gaat om contactgegevens als namen, adressen en e-mailadressen. Ook is het mogelijk om als ouder aanvullend schoolspullen (zoals een rekenmachine, schriften en pennen) naast boeken te bestellen. In die gevallen zijn er ook bankgegevens vastgelegd bij deze leverancier.
Magister is niet gehackt
Iddink is ook leverancier van Magister. De activiteiten van Magister vinden plaats in een andere BV en in een andere ICT-omgeving. Deze omgeving is niet gehackt, dit valt te lezen op de website van Iddink.
Voor de zekerheid
Het Gomarus College neemt sinds het schooljaar 2021-2022 geen leermiddelen of boeken meer af van Iddink. Het is, zoals hierboven al vermeld, nog onduidelijk of de gegevens van alleen de huidige klanten zijn gehackt of dat het ook om gegevens van eerdere jaren gaat. Iddink onderzoekt met een crisisteam de omvang van de hack en heeft ook justitie daarbij ingeschakeld. We hebben contact met Iddink en volgen de ontwikkelingen. Omdat niet uit te sluiten valt dat informatie van eerdere schooljaren in verkeerde handen is gevallen, kiezen we er als school voor ouders uit voorzorg te informeren.
Wachtwoorden zijn versleuteld bewaard
Iddink geeft aan dat de wachtwoorden van gebruikers versleuteld zijn opgeslagen en dat de hackers dus niet over de daadwerkelijke wachtwoorden beschikken.
Wees voorzichtig
Helaas komt cybercriminaliteit regelmatig voor. Om misbruik van persoonlijke gegevens te voorkomen is het altijd zinvol om alert te zijn. De volgende tips helpen daarbij:
- Wees alert op bijvoorbeeld phishing mails of andere manieren van misbruik waarmee hackers proberen informatie of geld van jullie te krijgen. Controleer altijd eerst of e-mails betrouwbaar zijn. Klik niet zomaar op een e-mail die je niet vertrouwt.
- Wijzig regelmatig wachtwoorden en gebruik wachtwoorden niet voor meerdere doeleinden. Heb je in de periode 2019 – 2021 besteld via Iddink? En heb je het gebruikte wachtwoord vaker hergebruikt? Verander dan per direct dat wachtwoord.
Actie vanuit school
Als school hebben we een voorlopige melding gedaan van deze hack bij de Autoriteit
Persoonsgegevens. Als uit het onderzoek van Iddink blijkt dat er daadwerkelijk gegevens van ouder(s)/verzorger(s) en leerlingen van onze school bij de hack zijn betrokken zullen we een definitieve melding doen.
Vragen
Eventuele vragen kunt u stellen aan onze functionaris gegevensbescherming Uko Dijkstra, via fg@gsg.nl.
Veelgestelde vragen met antwoorden zullen we als aanvulling op dit nieuwsbericht plaatsen.
Update 18 juni 2024
Helaas hebben wij vernomen dat er op dit moment phishingmails worden verstuurd uit naam van Iddink Learning Materials. Dit betekent dat er actief misbruik wordt gemaakt van de gegevens die bij de hack gestolen zijn.
Een phishingmail is een nepmail die vaak wordt verstuurd namens (zogenaamd) een officiële instantie met het verzoek om informatie te geven of om een bedrag te betalen. Het versturen van phishingmails is een populaire manier onder criminelen om persoonlijke gegevens en geld van mensen te ontfutselen (ze ‘vissen’ naar deze informatie). In dit geval is de phishingmail zogenaamd afkomstig van Iddink Learning Materials of bijvoorbeeld van de school.
Iddink verstuurt op dit moment geen e-mail naar leerlingen en hun ouders. Onze school neemt sinds een aantal jaren ook geen diensten meer af van Iddink Learning Materials B.V.
We verzoeken u daarom nogmaals extra alert te zijn op mogelijke phishingberichten. Iddink Learning Materials B.V. en onze school vragen u op dit moment niet om persoonlijke gegevens te verstrekken via e-mail en een link, of om betalingen te doen.
Ons advies aan u is:
- Let op e-mails, sms-berichten of telefoontjes waarin om persoonlijke gegevens wordt gevraagd, zelfs als het lijkt alsof het bericht van Iddink of de school is. Iddink en de school vragen nooit om op deze manier persoonlijke gegevens te verstrekken.
- Ga niet in op verzoeken in een e-mail om in te loggen of om te betalen voor schoolboeken. De school zal de leerlingen en hun ouders vooraf informeren als er actie wordt gevraagd om schoolboeken en lesmateriaal te bestellen of te betalen.
- Pas op voor e-mails die hyperlinks of bijlagen bevatten, klik niet op deze links tenzij je hebt vastgesteld dat de e-mail betrouwbaar is en de link te vertrouwen is (dit kan bijvoorbeeld door de link te controleren via www.checkjelinkje.nl).
- Pas op voor e-mails of sms-berichten met spelfouten, vreemde afzenders, ander dan Nederlands taalgebruik of iets anders ongewoons.
Zoals we u eerder hebben gemeld, blijft het belangrijk om verschillende wachtwoorden te gebruiken. Gebruikt u het wachtwoord van Iddink ook op andere websites? Dan is het belangrijk dat u het wachtwoord overal wijzigt in een nieuw, uniek wachtwoord.
Meer informatie en advies over veilig internetten staat op de website van de Rijksoverheid www.veiliginternetten.nl.