De persoonsgegevens van 60.000 alumni van de TU Delft zijn gestolen tijdens een ransomwareaanval op crm-systeem Blackbaud. Ook een onbekend aantal alumni van de Universiteit Utrecht zouden slachtoffer zijn geworden.

De ransomware zou de systemen van Blackbaud hebben geïnfecteerd. Dat is een customer relations management-systeem dat de Technische Universiteit Delft en de Universiteit Utrecht onder andere gebruikten om gegevens van alumni bij te houden. De aanval vond plaats tussen 7 februari en 20 mei van dit jaar, maar de TU en UU werden er 16 juli over geïnformeerd. De TU Delft schrijft dat het drie weken duurde voor de onderwijsinstelling over 'voldoende gegevens beschikte', en dat het daarna alumni en 'andere relaties' heeft geïnformeerd. Bij de TU Delft zou het gaan om 60.000 slachtoffers, meldt een woordvoerder. Van de UU is het onbekend hoeveel slachtoffers er zouden zijn.

Tijdens de ransomwareaanval op Blackbaud zouden er ook gegevens zijn gestolen van een zelfgehoste server. Blackbaud zegt dat het de criminelen betaald heeft om de kopieën van die data te vernietigen. Het bedrijf zegt dat het bevestiging heeft gekregen dat de gegevens ook echt vernietigd zijn.

Onder de gestolen data zaten ook back-ups van alumnigegevens van de TU Delft en de Universiteit Utrecht. Het ging om data van alumni tot aan 2017. Wie na dat jaar is afgestudeerd, is in ieder geval niet getroffen. Onder de gegevens zaten naast namen en geboortedatums ook contactgegevens zoals het e-mailadres, postadres en telefoonnummer van de alumni. Ook 'opleidings- en loopbaangegevens' zouden zijn buitgemaakt.

In het geval van de Universiteit Utrecht zouden er ook bankrekeninggegevens en wachtwoorden in de back-up staan. Die zijn 'versleuteld en daardoor niet toegankelijk voor de hackers', al zegt de onderwijsinstelling niet welke soort versleuteling er is gebruikt. De TU Delft schrijft dat die gegevens niet in de back-up stonden.