Herudover viser universitetets analyse, at omkring 30.000 brugere er berørt af hændelsen, da de IT-kriminelle har haft adgang til universitetets netværk og brugerdatabase (Active Directory). Af brugerdatabasen fremgår primært almindelige personoplysninger, som ligger offentligt tilgængelige på Aalborg Universitets hjemmeside, desuden indeholdes passwords i krypteret form (password hashes) og for nogle brugere mobilnummer til multifaktor-autentifikation.
Aalborg Universitet er i gang med at underrette alle personer med en brugerkonto i universitetets brugerdatabase, hvis almindelige eller følsomme personoplysninger er blevet kompromitteret.
Personoplysninger ikke motiv for angrebet
Det er vurderingen, at den uretmæssige adgang har haft til formål at skaffe sig adgang til universitetets øvrige IT-systemer samt viden om universitetets IT-infrastruktur for at kunne pengeafpresse universitetet med truslen om gennemførsel af et målrettet ransomware-angreb, og at det dermed ikke har været et motiv at eksportere personoplysninger. Denne vurdering er baseret på de metoder, hackeraktiviteter og værktøjer, som de IT-kriminelle har anvendt i forbindelse med angrebet.
Skærpede sikkerhedskrav
- Selvom personoplysninger i sig selv ikke ser ud til at være motivet for angrebet, tager vi det selvfølgelig meget alvorligt, at IT-kriminelle har haft adgang til vores netværk og ansattes og studerendes personoplysninger. Vi er glade for, at vi så tidligt opdagede angrebet, så kun så få brugere ud af rigtig mange har fået kompromitteret følsomme personoplysninger. Efter angrebet lukkede vi straks for forbindelsen til internettet og sikrede dernæst, at alle brugere skiftede password. Vi har skærpet overvågning på alle systemer og fortsætter i øvrigt med planlagte tiltag på sikkerhedsområdet, og vi følger en kontrolleret plan for en sikker genåbning af adgangen til IT-systemerne. Helt konkret vil både ansatte og studerende i den kommende tid møde skærpede sikkerhedskrav til blandt andet passwords og multifaktor, når de tilgår og anvender IT-systemer på AAU, fortæller universitetsdirektør Antonino Castrone.
For yderligere information se its.aau.dk/beredskab
- Pressekontakt: chefrådgiver Bo Jeppesen, e-mail: boje@adm.aau.dk, mobil: 6140 4061