Diverse gaten ontdekt in website gemeente Amsterdam - update

In de website Mijn Loket van de gemeente Amsterdam zijn diverse gaten ontdekt waardoor content was aan te passen en bestanden te uploaden. Nadat de site tijdelijk offline was gehaald, bleek het digitale loket nog steeds lekken te bevatten.

Dat meldt RTL Nieuws. Volgens het nieuwsprogramma was het beheergedeelte van de website Mijn Loket, waar Amsterdammers persoonlijke gegevens kunnen veranderen, eenvoudig te bereiken. Er zouden zeker drie manieren zijn gevonden, waaronder eenvoudige aanpassingen aan de url en het ingeven van zoekopdrachten in Google.

Volgens RTL Nieuws konden zij links in het contentmanagementsysteem aanpassen en het was mogelijk om bestanden te uploaden naar het digitale loket. Het is niet duidelijk of persoonlijke gegevens via het cms toegankelijk waren.

Mijn Loket was maandag korte tijd offline wegens 'een beveiligingsvraagstuk'. Opmerkelijk is echter dat het nog steeds mogelijk was om wijzigingen via het beheergedeelte door te voeren nadat de site dinsdag weer bereikbaar was. De gemeente Amsterdam heeft inmiddels de website opnieuw offline gehaald en zou overwegen om aangifte te doen. Ook wordt door een 'gespecialiseerd bureau' een onderzoek ingesteld.

Volgens een zegsman van de gemeente Amsterdam is de site offline gehaald nadat ambtenaren een fout hadden ontdekt. De gemeente stelt dat het 'slechts' mogelijk was om wijzigingen in de navigatie aan te passen. Burgers worden inmiddels doorverwezen naar de fysieke loketten van de stadsdelen.

De hoofdstad kampt al lange tijd met structurele problemen bij de Dienst ICT. De ict-dienst is onder curatele gesteld, terwijl B&W vreest dat zijn automatiseringsproblemen kunnen uitgroeien tot een schadepost van tientallen miljoenen euro's. Het beheer van de website is overigens uitbesteed en niet in handen van de Dienst ICT.

Update woensdag, 11.30: Link tussen problemen Dienst ICT en de beveiligingsproblemen van de website in de tekst verwijderd, aangezien het beheer van de site is uitbesteed.

Door Dimitri Reijerman

Redacteur

20-09-2011 • 19:59

46

Reacties (46)

46
45
28
7
0
8
Wijzig sortering
Niemand die zich afvraagt waarom elke gemeente een eigen digitaal loket heeft? Een adreswijziging, geboorte, aangifte, ... kan je gewon overal in het land op dezelfde manier behandelen. Dan hoef je ook maar één systeem te bouwen en geen 200.

Diezelfde lijn kan je zowat doortrekken naar alles wat een gemeente doet imho. Ziekenhuizen zijn nog zo'n fijn voorbeeld...
Ontwerp dan een template met een verplichting tot het aanmaken van de nodige encryptie beveiligingen en dat het pas werkt als de 'Root/Admin' standaard login gegevens zijn veranderd..

Dan een soort van homepage maken die alle gemodificeerde versies van deze digitale loketten in een leuk en overzichtelijk landelijk kaartje met een lijstje eronder zet.

Het home domein zou dan op geen enkele manier verbonden moeten zijn aan de loketten van de gemeenten en de servers waar de loketten op draaien het liefst als het mogelijk is IN het stadshuis plaatsen met een terminaltje erbij waarin ALLE admin rechten verstrekt worden (zodat als iemand het nog weet te kraken de schade minimaal kan blijven)

De grootste fout die ze bij de overheid nu maken is laxheid en ongeloof.. Dit koppelen ze aan te grote verstrekkingen van rechten op afstand.. Basis regel 1, je uiterste redmiddel in een beveiliging is een fysieke oplossing.. Iemand moet persoonlijk op 1 locatie aanwezig zijn om alles te kunnen doen.. Hoe minder, hoe beter want als het dan fout gaat kun je maar 1 iemand ervoor aanwijzen..

Geloof maar niet dat als je gaat roepen dat ze het toch niet willen of kunnen hacken je dan niet gehackt word voor alleen en puur de lol die de hackers in zo'n uitdaging zoeken..

[Reactie gewijzigd door Aererus op 24 juli 2024 07:54]

Het blijft jammer:
De gemeente Amsterdam heeft inmiddels de website opnieuw offline gehaald en het zou overwegen om aangifte te doen.
Helaas zit het in de Nederlandse mentaliteit dusdanig in elkaar om direct met het vingertje naar een schuldige persoon te wijzen. Het ergste ervan is dat de zegsman in dit geval een dusdanig beperkt kennisniveau heeft wat betreft websites danwel de beveiliging ervan dat ze niet weten hier zelf (mede)schuldig aan te zijn door iets wat in mijn ogen onder nalatigheid valt.

Overigens mag de zegsman in kwestie niets verweten worden, hij wordt betaald om de pers te woord te staan, niet om kennis te hebben van digitale aangelegenheden.

Feit is wel dat er blijkbaar bedrijven zijn die bijna afhankelijk zijn van overheidsopdrachten waaraan ze bakken met geld verdienen zonder daadwerkelijk kwaliteitsproducten te leveren die verwacht mogen worden voor de bedragen die ze ervoor ontvangen. Het feit dat dit al meerdere jaren aan één stuk gebeurd geeft aan dat de bedrijven zich dit kunnen permitteren omdat de eisen vanuit de opdrachtgever, de overheid in dit geval ontoereikend zijn voor de huidige markt en technieken. Diezelfde bedrijven mogen wat mij betreft ook wel eens groot aan de schandpaal genageld worden, net zoals met Diginotar is gebeurd, mijn inziens verdienen deze bedrijven het om het belastinggeld van "de burger" te mogen ontvangen voor de geleverde (wan)prestaties.

Uitzonderingen natuurlijk daargelaten maar zoals gewoonlijk; er wordt wat over de scheidsrechter gezegd als hij zijn werk niet goed doet.
http://www.security.nl/ar...nten_overheid_online.html

Lees ook hier even mee, het was al meerdere keren gemeld maar geen actie ondernomen. Pas nadat het hier openbaar is gemaakt zijn ze er wat aan gaan doen...

En het "lek" was niets anders dan een upload functie voor bestanden. De bestanden waren vanaf die server ook niet eens uitvoerbaar ( denk aan php/asp/jsp ) deze kreeg je netjes als text te zien, dus blijkbaar veilig genoeg.
De gemeente Amsterdam heeft inmiddels de website opnieuw offline gehaald en het zou overwegen om aangifte te doen.
In het land waar je een boete krijgt voor je fiets niet op slot zetten en ze je doodleuk uitlachen als je aangifte gaat doen als hij dan toch gestolen wordt. Zullen we dan ook jullie maar een boete geven en uitlachen?
Op basis van welke wet heb jij een boete gekregen voor het niet op slot zetten van je fiets?
Het niet op slot zetten van je fiets kan gezien worden als uitlokking, en dat mag niet. Ik heb echter nog nooit gehoord van iemand die een boete kreeg omdat zijn fiets niet op slot stond.
Ik wel, maar dan voor het onbeheerd achterlaten van een auto (met draaiende moter, dat wel. ik gooide iets bij iemand in de brievenbus)
Hoeveel zou het 'Mijn Loket' gedeelte van de website van de gemeente Amsterdam gekost hebben om te produceren. 1, 2, 5, 10 of wellicht 20 miljoen euro?
Mijn Loket is juist een van de ICT dingen die in amsterdam voor nog vrij weinig problemen had gezorgd. Begin dit jaar werd nog duidelijk dat Amsterdam alleen al 20 miljoen kwijt zou moeten zijn aan achterstallig onderhoud.
Als mijn loket in totaal 5 miljoen zou hebben gekost zou dat nog best rendabel kunnen zijn. Veel mensen moesten vroeger voor een adreswijziging al naar het loket en het voordeel dat je hebt door dat nu op het internet te kunnen doen is heel groot. Je hebt weer minder personeel nodig, minder papier etc. Waarschijnlijk kost het alleen veel minder..
Maken andere steden die een digitaal loket hebben eigenlijk geen gebruik van hetzelfde systeem. (Bijna?) elke stad heeft nu toch wel een digitaal loket?

[Reactie gewijzigd door Pikoe op 24 juli 2024 07:54]

...
Als mijn loket in totaal 5 miljoen zou hebben gekost zou dat nog best rendabel kunnen zijn. ..
Maar een fatsoenlijke website hoeft helemaal geen 5 miljoen te kosten, dat zijn absurde bedragen. En juist omdat regeringen en gemeentes dat soort bedragen betalen komen er allerlei types op af die het alleen om het geld doen, en niet de juiste IT kennis in huis hebben.
Gezien ervaringen die ik heb gehad bij mijn vorige werkgever met webprojecten van dit kaliber schat ik de kosten op tussen de 50.000 en 500.000 euro. Daaronder is echt goedkoop, daarboven echt heel duur. Alles daartussen kan maar zo, afhankelijk van wat de gemeente allemaal aan foefjes heeft laten inbouwen. 5 miljoen zou echt bizar duur zijn.

InfoProjects heeft het blijkbaar gebouwd (amsterdam.nl i.i.g) en beschrijft zelf het systeem als 'state of the art' content management systeem:
Deze website draait op het IPROX-platform van InfoProjects bv.
IPROX is een state-of-the-art Content Management Systeem voor omvangrijke webomgevingen.
Voor meer informatie, zie: http://www.infoprojects.nl en http://www.iprox.nl.
Maar ja... Wij van WC eend...
Misschien is het cms ook wel state of the art, ik ken het overigens niet... Een en ander ligt natuurlijk niet alleen aan het cms zelf maar aan implementatie en configuratie...

Feit is wel dat als de overheid zelf wat minder zou blunderen bij allerlei soorten projecten dat prinsjesdag toch een stukje minder somber zou zijn geweest.

[Reactie gewijzigd door mxcreep op 24 juli 2024 07:54]

Het gedeelte waar de problemen zitten (mijn loket) is een externe applicatie buiten de website zelf. Heeft dus niets met het IPROX cms te maken.
Een website kost natuurlijk meer dan alleen het maken en hosten. Je moet ook mensen hebben die hem onderhouden/formulieren uploaden/etc. Maar ik geef je gelijk dat het voor minder dan 5 miljoen zou moeten kunnen, en ik denk dat ze het ook wel voor veel minder dan 5 miljoen hebben gedaan.
Anoniem: 63628 @Pikoe20 september 2011 21:38
Als die arrogante gemeentes nou iets minder zouden huilen en meer zouden samenwerken dan kun je veel meer voor elkaar krijgen. In andere steden werkt het Digitale loket namelijk wél zonder al deze gigantische gaten, maar nee hoor, Amsterdam zal daar niet naar kijken, want die verzieken het liever zelf.

En de enige reden dat ze niet samenwerken is pure arrogantie.
samenwerk punt ben ik helemaal met je eens. Het is niet nodig om tig keer het wiel uit te vinden. Veel gemeentes zullen gemeenschappelijke procedures hebben (adreswijziging, maken van een afspraak), die je kunt delen.

Waar ik wel benieuwd over ben is jouw overtuiging dat andere sites geen problemen hebben. Je hebt geen idee of dat zo is.
Dat vind ik dan weer een van de "voordelen" van dit soort constatering (de constatering dat de site van de gemeente Amsterdam lek is). Er komt i.i.g. aandacht voor
Eigenlijk zouden ze simpelweg niet de vrijheid moeten hebben om dit zelf uit te prutsen, gewoon landelijk een goede oplossing bepalen en alleen het implementatie traject enigzins personaliseren. Scheelt bergen kosten en de kans dat het beter gaat is stukken groter, mits men dan ook eens een partij in huurt die verstand heeft van zaken ipv alleen maar bergen geld naar hun eigen rekening kan brengen.

Belachelijk dit... de burger wordt overal op zijn vingers getikt, betutteld en wordt ook nog eens volop gepakt met allerlei bezuinigingen en de heren van de overheid hebben een licensie op ongelimiteerd knoeien met mega bedragen...
[...]Maken andere steden die een digitaal loket hebben eigenlijk geen gebruik van hetzelfde systeem. (Bijna?) elke stad heeft nu toch wel een digitaal loket?
Ben bang dat veel gemeenten hun eigen "digitaal" loket-wiel hebben uitgevonden ...

aanvulling: deels waar: "Eind 2010 is de balans opgemaakt van de met het NUP bereikte resultaten (bijlage 1). Vastgesteld werd dat de basisvoorzieningen grotendeels door het Rijk zijn ontwikkeld, maar nog niet grootschalig zijn geïmplementeerd en gebruikt in de bedrijfsprocessen van de overheidsorganisaties die de diensten aan burgers en bedrijven verlenen."

Mogelijk betekent dit dat "niet basisvoorzieningen" door de gemeente zelf kunnen zijn ontwikkelt.

[Reactie gewijzigd door Xubby op 24 juli 2024 07:54]

Op zich is dat ook niet erg. Dit soort technologie is natuurlijk toch relatief nieuw, dus in plaats van meteen alle gemeenten in één systeem keurslijf te duwen en daarmee te riskeren dat ze allemaal een systeem krijgen dat toch niet zo blijkt te werken als zou moeten, is het wellicht best slim om het een tijdje op zijn beloop te laten en dan na een tijd te inventariseren wat werkt en wat niet. De gemeenten met slechte systemen kunnen dan overstappen op de systemen die in de praktijk wel goed blijken te werken.

Mijn ex werkgever leverde ook een web systeem voor gemeenten en heeft zelfs een aparte divisie daarvoor: GXPublic. O.a. de gemeente den Haag maakt daarvan gebruik dus qua formaat vergelijkbaar. En zo kan de markt dus verschillende producten bouwen en kunnen de gemeenten uiteindelijk afwegen welk systeem het beste is.
wat dacht je van 5000 euro? zelfs ik kan een veiliger systeem dan dat in elkaar draaien, en dat zegt wat. het cms in komen via url hacking, dat kan je toch niet menen?

en dan nog aangifte doen en een "speciaal bureau" erbij halen... wat zielig. dat is het zelfde als je auto snachts met alle deuren open laten staan en dan aangifte doen omdat je cd collectie weg is. wees blij dat ze de boel niet kaalgeplukt hebben, dat zou pas mooi geweest zijn... (de hele site defaced en de database gekopieerd, dus).
Op het gevaar af om naïef over te komen: Je stelling dat een gestolen CD collectie je eigen schuld is en je blij moet zijn dat je auto niet weg is is wel erg krom. Diefstal blijft diefstal.

Koperdraad wordt ook niet actief beveiligd, maar wanneer je (een deel van) de Nederlandse infrastructuur uitschakelt is er gewoon sprake van sabotage, en het zal me sterk verbazen als je met een "doe niet zo zielig, ik heb het spoor laten liggen" wegkomt. Waarom zou dat anders moeten zijn bij ICT voorzieningen die belangrijk zijn voor gemeentelijke administratie? Of dergelijke systemen al dan niet (te) slecht beveiligd zijn is een heel ander verhaal.
je kan je gewoon niet beroepen op moraal en wetten. mensen zijn onbetrouwbaar en onvoorspelbaar, zelfs een kind van 5 weet dat. als je je daar niet op indekt door de grootste groep uit te sluiten (de zware jongens komen natuurlijk altijd je systeempje wel binnen) en het maar zo laat dat zelfs de basic scriptkiddies je kunnen "hacken"...

moreel fout: ja. wettelijk fout: ja. reëel gezien: eigen schuld...
moreel fout: ja. wettelijk fout: ja. reëel gezien: eigen schuld...
Het is misschien wel je eigen schuld, maar de dader is nog steeds verantwoordelijk voor de schade. In dit geval is er echter niks gestolen, er is alleen gekeken of de auto op kon, en of je er mee kon rijden. Daarna is de auto weer netjes zonder schade op zijn plek terug gezet, en is er gemeld dat er een lek was.

Er is dus totaal geen directe schade ( Behalve imago schade ). En daarom is het inderdaad absurd dat ze overwegen om aangifte te doen.
Vertel dat maar aan de politie als je aangifte gaat doen zonder braaksporen. Want naast dat je niet verzekerd bent gaat de politie daar dus niets mee doen. Het is natuurlijk diefstal, en ook ik vind dat anderen met hun jatten van mijn spullen moeten blijven. Maar voor het geld dat de overheid uitgeeft aan ict mag je imola meer vergeten. Dan verwacht je niet dat die spreekwoordelijke auto met dure, exclusieve cdcollectie helemaal niet afgesloten wordt.

Maar daarnaast word ik wel een beetje lekkenmoe. Alles lijkt ineens lek te zijn, en alles onveilig. Maar hoe belangrijk is het nou en wat is de waarde van de 'goederen' die ontvreemd kunnen/konden worden?
Nou de enigen die hier aangiften van horen te doen zijn de inwoners van Amsterdam. Als je gemeente op deze manier met de gegevens en software die burgers moeten gebruiken om gaat, dan verdienen ze (de "dienst ICT" ja) niets anders dan een levenslange gevangenis straf.

Hier is geen sprake van hacken, in dit geval kan iedere malloot via Google de gekste dingen uit halen met het systeem. Dat is grove nalatigheid. Ze zijn volledig debiel daar in Amsterdam en proberen door de aangifte het idee van schuld nog van zich af te schuiven ook. Ratten zijn het, allemaal!
In feite heb je gelijk. Alleen, als de wereld zo mooi in elkaar zou zitten dan kunnen we het concept van wachtwoorden en beveiliging in het algemeen ook wel afschaffen. Doe mij effe jouw PIN code, ik beloof dat ik er niets mee doe..
in dat geval als het meer dan 1 miljoen koste is dat pure geldverspilling en, een dure lekker

[Reactie gewijzigd door MrKuromili op 24 juli 2024 07:54]

Ja want jij weet zo lekker wat er allemaal exact achter de schermen bij "Mijn Loket" gebeurt. Zonder dat je kennis van zaken hebt is de uitspraak die je doet totaal onzinnig en ongefundeerd.

Kijk het is natuurlijk van de gekke dat er dit soort domme beveiligingslekken in de software zitten, maar de front-end is maar een gedeelte van het complete systeem natuurlijk, en kosten voor een project staan ook niet altijd in relatie met de kwaliteit ( Al zou dat wel zo moeten zijn natuurlijk ;) )

[Reactie gewijzigd door Woy op 24 juli 2024 07:54]

De gemeente Amsterdam doet aangifte omdat hun website zo lek is als een mandje, ze willen zeker aangeklaagd worden voor het niet goed beschermen van de privacy van hun burgers..
Voor de overheid is het Internet een groot probleem gebleken. Niet alleen de problemen bij Amsterdam maar over de gehele linie blinken de websites van de overheid niet uit in beveiliging, bruikbaarheid of toegankelijkheid.

Er zijn wel wat uitzonderingen en de laatste jaren maakt de overheid grote sprongen maar het kampt vooral met de eigen regels rondom het ontwerpen van sites die voor iedereen toegankelijk moeten zijn alswel als regels die veiligheid dienen te garanderen voor de gegevens van bezoekers en gebruikers.

Als je gaat kijken naar ICT in het algemeen geldt ook daar dezelfde problematiek. Toch zeker als het projecten betreft die verplicht aanbesteedt moeten worden en dus al snel zichtbaar zijn voor het publiek.
Gaan we nu eens eindelijk verder kijken dan onze neus lang is, een 'normale' firewall blokkeerd dit soort zaken niet.. een WAF of (beter) goede applicatie security kennis is nodig om dit soort gaten te dichten..

Nederland wordt wakker, er zijn duizenden websites zo te hacken (niet gebaseerd op werkelijk onderzoek, echter de kennis en kunde is zo laag bij onze CSO's e.d.).

We gaan dit nog vaak zien in het nieuws (helaas)..
Sorry maar dit is oud nieuws ... ik kan er misschien nog wel een paar noemen. De overheid krijgt al meerdere adviezen om beveiliging op te pakken maar ze doen het niet. Ze gaan op hun bek en komen er mee weg (let op de diginotar hack bijvoorbeeld waarbij een update van microsoft wordt uitgesteld omdat de overheid anders niet kan werken).

Ik denk dat je beter 1 artikel kan schrijven over dat de overheid niet goed beveiligd is met een opsomming van, deze en die en die sites, en allemaal amateuristisch ingezet..

Sorry voor deze rant maar het gaat wel erg lang door, doe er eens iets aan!
Anoniem: 119722 20 september 2011 20:32
zijn automatiseringsproblemen kunnen uitgroeien tot een schadepost van tientallen miljoenen euro's.
Slecht gekozen in deze tijden van bezuinigingen.Op de website zelf kun je wel komen. Niet bij het digitaal loket.

[Reactie gewijzigd door Anoniem: 119722 op 24 juli 2024 07:54]

Het was sowieso geen beheergedeelte en er konden ook geen gegevens veranderd worden. Het ging gewoon om een fileshare die niet open had mogen staan en een deel wat sowieso geen kwaad kan. Wat dat ding daar überhaupt heeft gedaan is een raadsel. Fox-IT heeft nog een onderzoek gedaan maar verder geen bijzonderheden gevonden. Stomme fout maar meer ook niet.. Het niveau van journalistiek komt ook hier op T-Net op een steeds lager peil te liggen. Check your facts before you're talkin out of your ass... zou ik tegen journalisten willen zeggen.

[Reactie gewijzigd door regmaster op 24 juli 2024 07:54]

"Stomme fout"? Ik zag gister op tv toch een voorbeeld, waarin dit lek toch in een iets ander daglicht werd geplaatst.
Daar veranderde iemand een link op de site, waardoor een bezoeker naar een phishingsite werd geleid, waar hem verteld werd, dat hij - om door te gaan - zijn DigId moest invullen... als de Gemeente Amsterdam dat aan jou zou vragen op hun site (en zo zag dat er wel uit), wat zou jij dan doen?
In plaats van de woordvoerder van de gemeente zouden ze beter die van het bedrijf die dat spul gemaakt heeft eens laten uitleggen waarom dit gebeurt is. Ofwel moeten die dan zeggen dat de specificaties over securety niet goed waren en dan nog is het hun taak om daar dan melding van te maken. Ofwel hebben ze het verprutst en dan moeten ze daar de verantwoordelijkheid maar voor nemen. Nog een paar IT faillisementen is mischien zo slecht nog niet , toch niet als er zo overduidelijk alla Diginotar fouten zijn gemaakt. Ik vraag me heel erg af hoe dat het juridisch / contractueel geregeld is. Als een gebouw ernstige tekortkomingen blijkt te hebben dan is de architekt/ingenieur toch ook verantwoordelijk. En Als de specificaties zodanig zijn dat beveiliging niet kan op orde zijn moet een project geweigerd worden. Als ik een verbouwing will doen die de strukturele integriteit van mijn huis in gevaar brengt is er ook geen die dat plan wenst goed te keuren.

Op dit item kan niet meer gereageerd worden.