De cyberaanval die begin dit jaar plaatsvond op het ict-netwerk van de Technische Universiteit Eindhoven (TU/e) is mogelijk het gevolg van het ontbreken van multifactorauthenticatie (mfa) op de vpn-verbinding. Hierdoor konden aanvallers eenvoudig toegang krijgen tot het interne netwerk, vermoedelijk met gestolen inloggegevens. De universiteit heeft naar aanleiding van de aanval een nieuwe vpn-verbinding mét multifactor-authenticatie geïnstalleerd.
Dat blijkt uit een uitgebreide publicatie waarin de TU/e deelt hoe de universiteit te werk ging na de cyberaanval die op zaterdag 11 januari 2025 plaatvond. Er zijn naar aanleiding van die aanval verbeteringen doorgevoerd, zoals het installeren van een nieuwe vpn-verbinding met multifactor-authenticatie (mfa), schrijft TU/e.
De universiteit wil op dit moment niet bevestigen of dat ook de plek is waar de indringers het netwerk inkwamen of dat het installeren van een nieuwe vpn met mfa een algemene stap is om de cyberbeveiliging te verbeteren. TU/e publiceert op 19 mei 2025 externe onderzoeken waarin die details mogelijk wel worden gemeld. Het gaat om een forensisch onderzoek dat is uitgevoerd door cybersecuritybedrijf Fox-IT dat de universiteit ook bijstond tijdens de crisis. Daarnaast evalueert het Instituut voor Veiligheids- en Crisismanagement (COT) hoe de crisisorganisatie heeft gefunctioneerd.
Legacy-server?
De situatie bij TU/e onderstreept het belang van extra beveiligingslagen bij externe toegang tot grote ict-netwerken. ‘Meerlaagse identificatie is wel gebruikelijk bij alles waarop in zo’n grote organisatie wordt ingelogd, dus ook bij vpn. Mogelijk was er sprake van een legacy-server’, deelt een beveiligingsexpert die niet bij de universiteit betrokken is desgevraagd met Computable.
In het verslag staat ook dat de capaciteit van securitydiensten is verhoogd om alle bewegingen op het netwerk nog beter te monitoren. Op dit moment is niet bekend wie de daders achter de cyberaanval zijn en er loopt een politieonderzoek.
Uitschakelen netwerk
Om het verlies van data tegen te gaan, besloot de universiteit om in de nacht van 12 januari het volledige netwerk uit te schakelen. Dat had grote gevolgen voor onder meer studenten. Colleges werden geannuleerd en de campus ging op slot. ‘Dankzij snelle actie, waaronder de moeilijke beslissing om die nacht alle interne en externe systemen plat te leggen, werd het ergste voorkomen’, blikt de TU/e terug.
Betrokkenen uit het crisisteam stellen dat ze die keuze vooral durfden te maken omdat ze bij incidenttrainingen regelmatig dergelijke scenario’s hebben doorlopen. ‘Als we niet hadden geoefend, hadden we het misschien niet aangedurfd om die nacht alles uit te zetten’, stelt Bert van Iersel, adjunct-directeur van de dienst Library & Information Services, in de publicatie.
It-experts
TU/e beschikt over geautomatiseerde systemen die dagelijks duizenden verdachte activiteiten detecteren. Maar cybercriminelen kwamen via gelekte inloggegevens toch het netwerk binnen en probeerden de volgende beveiligingslagen, die ze tegenkwamen, te kraken om dieper het netwerk binnen te dringen. Inmiddels ‘draait’ de universiteit weer als normaal. Toch echoot de ervaring nog steeds in allerlei hoeken van de onderwijsinstelling door, schrijft TU/e in de aankondiging van het dossier over de cyberaanval. Daarin delen zeventien leden van de TU/e-achterban hun ervaringen. Het gaat onder meer om it-experts, studenten, planners en hoogleraren. Ze onthullen onder meer details over de technische respons en het teamwerk tijdens die ontwrichtende cyberaanval.
Vpn en mfa
Vpn staat voor virtual private network. Het is een technologie die een versleutelde verbinding maakt tussen een apparaat en het internet via een beveiligde server.
Multifactorauthenticatie (mfa), ofwel meervoudige verificatie, voegt een extra beveiligingslaag toe aan het inlogproces, meestal naast een wachtwoord. Dat gaat bijvoorbeeld via een code via sms, een authenticatie-app of een vingerafdruk of gezichtsherkenning
“Dat was achteraf gezien een prachtige ervaring.”
“Het oefenen voor crisissituaties zoals deze is heel waardevol gebleken”, zegt Van Iersel tevreden.
https://www.tue.nl/nieuws-en-evenementen/nieuwsoverzicht/samen-sterk-hoe-onze-universiteit-de-cyberaanval-trotseerde.
Tevredenheid alom dus bij deze aanval waarbij ik begreep dat er een week niet gewerkt kon worden, geen colleges enzo.
En dat men er nog niet uit is of dat het niet misschien gewoon om het onbreken van MFA had gelegen.
Voor de zekerheid gaan ze dat maar eens invoeren….
Die combi van gewoon je basis niet op orde hebben, ernstige gevolgen “trotseren” (woordkeuze) en dan het evalueren.
en dat allemaal op een Technische Universiteit zelf..
schaamteloos 😛
Never waste a good crisis want MFA is een hindernis voor gebruikers, de basis is daarmee nog niet op orde als we kijken naar de segmentering. En laten we plan B niet vergeten als we kijken naar de afhankelijkheden met zoiets als DDoS. De controle over de ‘killswitch’ mist nog wat veerkracht door de impact van een beslissing want ook de tegenpartij leert. De echo van ervaring gaat om een echo uit het verleden want de kat-en-muis spelletjes speelde ik jaren geleden vanuit een nieuwsgierigheid.
Dagelijks duizenden verdachte activiteiten detecteren gaat om het zoeken naar afwijkende patronen, sommige cybercriminelen zijn namelijk gewoon studenten die buiten de lijntjes kleuren. Meerlaagse identificatie begint bij de persoon, gelekte inloggegevens of gewoon een slechte controle aan de toegangspoort?