Tientallen gemeentesites bleken vatbaar voor xss-hackaanvallen

Enkele tientallen gemeentesites blijken maandenlang vatbaar voor een xss-lek te zijn geweest. Aanvallers hadden hiermee in theorie valse code kunnen serveren of bezoekers onopgemerkt naar andere sites kunnen doorsturen. Het gat is gedicht.

Een Tweaker ontdekte dat de website van de gemeente Valkenswaard vatbaar was voor xss-aanvallen. Daardoor konden kwaadwillenden onder andere javascript uitvoeren, de code aanpassen en bijvoorbeeld de bezoekers automatisch doorverwijzen naar een andere website.

Het xss-lek blijkt niet in de code van gemeente Valkenswaard zelf te zitten, maar in een component van SIMgroep. Deze organisatie host voor enkele tientallen gemeenten diverse e-overheidsdiensten. Uit onderzoek van Tweakers.net onder een vijftiental van die websites, blijkt dat negen daarvan kwetsbaar waren voor xss-aanvallen. Het ging om de sites van de gemeenten Valkenswaard, Zoetermeer, De Ronde Venen, Ouderkerk, Westervoort, Roerdalen, Strijen, Raalte en Reimerswaal.

Nadat Tweakers.net SIMgroep over het xss-lek had geinformeerd, heeft het bedrijf het lek gedicht. Volgens directeur Frank de Goede ging het om een 'slordige fout die er niet in had mogen zitten'. "We zijn dag en nacht bezig met het controleren van de code. Daarbij focusten we ons voornamelijk op sql-injecties, waardoor we niet aan een xss-lek hadden gedacht." Tientallen sites waren volgens hem vatbaar voor het lek. Hij benadrukt wel dat persoonlijke gegevens niet in gevaar waren.

Het lek bij de gemeentesites volgt na een ander lek dat in het afgelopen weekeinde aan het licht kwam. Daarbij waren naar verluidt de privégegevens van zowel burgers als ambtenaren in het geding. Een deel van die websites was ondergebracht bij Gemeenteweb, maar werd na de bekendmaking van het lek naar SIMgroep verhuisd. Volgens De Goede zijn die sites niet vatbaar voor de fout. "Die stonden op een server die niet was beveiligd. Hier gaat het om een lek in verouderde software van de gemeentesites die we al in ons bezit hadden. De overgenomen websites van Gemeenteweb zijn dus niet vatbaar."

Ondanks de in het afgelopen weekeinde gesignaleerde kwetsbaarheden, liet de Vereniging van Nederlandse Gemeenten onlangs weten vooralsnog geen beveiligingsrichtlijnen voor gemeentesites te verplichten.

Door Yoeri Nijs

Nieuwsposter

Feedback • 11-10-2011 17:35
97 • submitter: Intheweb

11-10-2011 • 17:35

97

Submitter: Intheweb

Lees meer

Beveiligingslek Tivoli gaf toegang tot gegevens tienduizenden mensen
Beveiligingslek Tivoli gaf toegang tot gegevens tienduizenden mensen Nieuws van 18 december 2011
Minister vindt afhankelijkheid van securitybedrijven onwenselijk
Minister vindt afhankelijkheid van securitybedrijven onwenselijk Nieuws van 21 oktober 2011
Roep om standaard voor securitybedrijven die voor overheid werken
Roep om standaard voor securitybedrijven die voor overheid werken Nieuws van 19 oktober 2011
DigiD komt voorlopig niet beschikbaar voor gemeentesites
DigiD komt voorlopig niet beschikbaar voor gemeentesites Nieuws van 15 oktober 2011
VNG dwingt nog geen beveiligingsrichtlijnen voor gemeentesites af
VNG dwingt nog geen beveiligingsrichtlijnen voor gemeentesites af Nieuws van 10 oktober 2011
Vijftig gemeentesites blijken nauwelijks beveiligd
Vijftig gemeentesites blijken nauwelijks beveiligd Nieuws van 8 oktober 2011
Overheid faalt met invoering webrichtlijnen bij gemeentesites
Overheid faalt met invoering webrichtlijnen bij gemeentesites Nieuws van 27 juni 2011
Meer producten en artikelen
Privacy Websites en community's Software development Beveiliging Hackers Overheid

Reacties (97)

-Moderatie-faq
97
90
53
2
0
11
Wijzig sortering
Anoniem: 426152 11 oktober 2011 23:21
Past niet helemaal bij dit artikel maar geeft wel aan hoe er over xss gedacht wordt: de websites van de stad Enschede is ook vatbaar voor xss!
De grootste fout zat hem hier in het relatief onbekende cms systeem dat de foutpagina's 'letterlijk' terugstuurde, maar er zaten ook fouten in, hoe kan het ook anders, de zoekfunctie.
Heb een mail gestuurd, maar volgens mij zitten de lekken er nog in...
Maar hoe groot is de kans nou dat dit misbruikt wordt? Sql heeft imo een hogere preoriteit.
MrBrown 11 oktober 2011 18:01
Wat ik frapant vind is dat het zo oorverdovend stil blijft, zowel op simgroep.nl als op @simgroep. Je zou toch verwachten dat een bedrijf wat zo groot is in de gemeentewereld na afgelopen weekend, en na dit incident, zo snel mogelijk een statement online zet om uit te leggen wat er is gebeurt, en wat er gedaan wordt om de problemen op te lossen. Komt mij zeer vreemd over in ieder geval...
kraats @MrBrown11 oktober 2011 18:33
Als klant hebben we om 17:20 netjes bericht gekregen, hoor. Daar gaat hun eerste aandacht gelukkig naar uit.
MrBrown @kraats11 oktober 2011 20:48
tuurlijk, klant moet geïnformeerd worden, maar ook het lek van zaterdag blijft volledig onvermeld tot nu toe. heel veel media besteden aandacht eraan, en het leeft zeker na diginotar. dan moet je als bedrijf toch wat van je laten horen?
berend_engelbrecht @MrBrown11 oktober 2011 21:00
Ook dat hebben ze wel naar hun klanten toe gedaan, voor zover mij bekend nog in het weekend.
J.J.J. Bokma @berend_engelbrecht11 oktober 2011 21:24
Ik denk dat het probleem wat een aantal mensen hiermee hebben is dat het *alleen* naar de klanten toe gedaan is. Waarom?
MrBrown @J.J.J. Bokma11 oktober 2011 21:50
juist! de media valt over je heen, je naam is overal negatief in het nieuws. de enige mogelijkheid van communicatie is dan toch redelijke openheid? vertel wat er is, wat de stappen zijn, en wat de verwachtingen zijn; alleen zo herwin je vertrouwen...
JAHRASTAFARI @MrBrown11 oktober 2011 19:01
Stel je voor dat de SIM groep gaat mededelen dat alles nu wel 100% veilig is. Wedden dat ze dan meteen doelwit worden van honderden hackers die even willen aantonen dat ook dit weer te kraken is?
J.J.J. Bokma @JAHRASTAFARI11 oktober 2011 19:17
Denk je dat dat sowieso niet gebeurd? Zodra je als toko in het nieuws komt als leveraar van prutswerk (terecht), dan verbaast het mij niet als mensen de komende weken hun produkten in de gaten houden.
Emgeebee 11 oktober 2011 17:58
Zijn er geen protocollen voor dit soort makkelijk te dichten beveiligingslekken? Met een simpel afvink-formuliertje moet dit toch te voorkomen zijn lijkt me. 8)7
David Mulder @Emgeebee11 oktober 2011 18:14
Makkelijk te dichten, ja, makkelijk te vinden, absoluut niet, XSS lekken kunnen soms op vreselijk veel plaatsen optreden en als je netjes vanaf het begin programmeert zijn ze (bijna?) voor 100% te voorkomen, maar met oudere applicaties is dat absoluut niet het geval, want toentertijd was men zich er simpelweg niet bewust van.
hackerhater @David Mulder11 oktober 2011 20:35
Klopt en bij zo'n oude code is het doorsnee goedkoper om opnieuw te beginnen dan alle fouten eruit te halen
Sfynx @hackerhater12 oktober 2011 10:01
Levert ook nog eens nettere en kortere code op, want ook op andere gebieden zijn de inzichten gegroeid.
Blaise 11 oktober 2011 17:46
We zijn dag en nacht bezig met het controleren van de code. Daarbij focusten we ons voornamelijk op sql-injecties, waardoor we niet aan een xss-lek hadden gedacht.
Ook tamelijk ernstig als je met zo'n eenvoudig beveiligingsprobleem dag en nacht mee bezig moet zijn... En behalve sql-injection heb je nog talloze andere makkelijk te maken fouten waardoor een site gehackt zou kunnen worden. Dit antwoord stemt mij dus niet echt gerust.
J.J.J. Bokma @Blaise11 oktober 2011 19:13
Grappig, focussen op SQL injecties, die je met een keuze van een betere database library in 1x allemaal kan voorkomen als je programmeurs maar niet zo stom zijn om queries in code aan elkaar te plakken en de juiste library calls te gebruiken. En daar op scannen, dat kan volautomatisch.

Misschien moeten die knoeiers zich eens een week of 2 op https://www.owasp.org/index.php/Main_Page focussen...
cariolive23 @J.J.J. Bokma12 oktober 2011 08:44
Grappig, focussen op SQL injecties, die je met een keuze van een betere database library in 1x allemaal kan voorkomen als je programmeurs maar niet zo stom zijn om queries in code aan elkaar te plakken en de juiste library calls te gebruiken. En daar op scannen, dat kan volautomatisch.

Misschien moeten die knoeiers zich eens een week of 2 op https://www.owasp.org/index.php/Main_Page focussen...
Voordat ze met een andere library aan de slag gaan, zullen ze eerst moeten snappen waaróm het gevaarlijk is om stringetjes aan elkaar te plakken om daar een stuk SQL van te maken. Zolang ze dat niet snappen, blijf je code krijgen die gevaarlijk is, er zijn altijd uitzonderingen op de standaard code.

Erg vreemd dat hier in het onderwijs zo weinig aandacht voor is, iedereen werkzaam in de IT zou dit soort basiskennis moeten hebben.
J.J.J. Bokma @cariolive2312 oktober 2011 19:13
Dan vertel je ze het verhaal van bobby tables, komt met een plaatje: http://xkcd.com/327/
swtimmer 11 oktober 2011 19:13
Hij benadrukt wel dat persoonlijke gegevens niet in gevaar waren.
Voor iemand die niet eens weet dat er naast SQL-injections ook andere soorten van vatbaar zijn van je website/platform neem ik zo'n statement met een gigantisch vat zout. Dat blijkbaar zijn klanten (Gemeenten) hem op zijn blauwe ogen vertrouwen zegt helemaal niets. Als de SIMgroep nog enige vorm van vertrouwen wil uitstralen zou het er beter aan doen een beveiliging audit te laten uitvoeren door een externe onafhankelijke partij.

Maar wat eigenlijk het nieuws over gemeente websites vooral aantoont is dat de overheid deze taak gewoon weer naar zich toe moet trekken en gewoon binnen de ministerie 1 goed gemeente CMS moet opzetten welke verplicht gebruikt moet worden door alle lagere overheden. Dus niet meer alles uitbesteden aan kleine bedrijven die blijkbaar niet de kennis in huis hebben om garanties te bieden die wij als burgers van onze overheid mogen verwachten van haar diensten.
Anoniem: 417173 @swtimmer12 oktober 2011 01:13
Dat zal geen kleinigheid worden.
Gezien hun laagdrempelige reacties, hun reacties in de media (puur om hun naam te verdedigen), hun informatieweergave op hun website... lijkt het totaal nogal een chaotische bende daar.
't Zou me ook niets verbazen dat daar veel stagelopers aan het werk zijn.
Het is echt geen kleinigheid om overheidsinstanties van een degelijke, betrouwbare software te voorzien.
Daarbij komt nog eens dat de overheid ook graag zelf 'de touwtjes in handen heeft' in zulke zaken.
Vooral als het op geld aankomt willen ze nog wel eens met een ander in zee gaan.
Blijkt er een lek te zijn, of een onbetrouwbare instantie, dan schieten ze ineens naar een ander.
En daar blijkt nu weer een lek te zijn.
Als er van overheidswegen gewoon wat geld (denk +- miljoentje) uitgegeven wordt om de it in eigen beheer na te lopen.
Huur een paar profs in, laten die een team aansturen en over 2 jaar zit alles weer netjes op de rails.
Maar kom daar maar niet mee aan bij de gemeente/prov.staten.
Ik heb het zelf vaak meegemaakt, als het om zaken ging als 'Beste gemeente-contactpersoon: om het geheel echt te laten voldoen aan de normen, is minimaal een half jaar nodig om alles degelijk lang te lopen en mogelijke lekken af te vinken op de lijst'.
Dan wordt er gelijk een soort risico-analyse gevraagd, wat de kans is dat deze lek ook tot problemen kan leiden.
En dan wordt de geldkraan graag dichtgedraaid, als het toch niet persé nodig is.

Ik wil maar zeggen: niet alleen die SIMgroep hoeft de oorzaak te zijn.
Ik vind dat zowel de gemeentes als SIMgroep samen tot een oplossing moeten komen en er gewoon netjes een wolle-sok met geld op tafel moet komen.
Dat scheelt véél ellende, zowel nu als in de toekomst! :)
J.J.J. Bokma @swtimmer11 oktober 2011 20:16
binnen de ministerie 1 goed gemeente Open Source CMS moet opzetten welke verplicht gebruikt moet worden door alle lagere overheden.
Aangepast.
swtimmer @J.J.J. Bokma11 oktober 2011 23:44
Dat maakt qua veiligheid verder niet uit of het een Open Source CMS of een Closes Source CMS is. Het gaat er meer om dat het er dan gewoon een partij binnen de overheid verantwoordelijk is voor dit soort zaken en dat ze dus niet afhankelijk hoeven zijn van de brochures van bedrijven zoals SIM.
Anoniem: 221563 @J.J.J. Bokma11 oktober 2011 22:58
Ja, maak het nog gemakkelijker om die dingen te kraken
Tijger @swtimmer11 oktober 2011 19:35
Maar...maar...marktwerking! Want daar gaat alles beter mee!
Anoniem: 426123 @swtimmer11 oktober 2011 19:52
Ja, audits zijn ook vertrouwenswekkend. Clubje als PWC inhuren, zoals Diginotar ook deed. ;)
Mejust @Anoniem: 42612311 oktober 2011 21:36
Als ik het me goed herinner heeft uiteindelijk FoxIT het bewijs geleverd dat er met de grote, belangrijke overheidscertificaten geknoeid had kunnen zijn. Nu ben ik geen programmeur of IT'er, en weet ik eigenlijk niet wat een audit precies is (al heb ik wel een idee), IT bedrijven kunnen blijkbaar wél goed onderzoekwerk verrichten.
Anoniem: 412800 @swtimmer11 oktober 2011 23:17
SIM is geen klein bedrijf, ze zijn de grootste partij in de gemeentemarkt als ik me niet vergis.
swtimmer @Anoniem: 41280011 oktober 2011 23:45
En dus? Blijkbaar geeft dat totaal geen garantie over de veiligheid van het platform dat ze bieden.
Dakdoef @Anoniem: 41280012 oktober 2011 09:02
Ja, en ook degene waarvan de meeste klanten SUPER ontevreden zijn. Ik was laatst bij een bijeenkomst (soort klantendag) van SIM. Daarbij hadden ze een presentatie gemaakt met een klanttevredenheidsonderzoek, waaruit bleek dat alle klanten super tevreden waren. Daarop is bijna de hele zaal vol met klanten briesend van woede de zaal uitgelopen.
.oisyn Moderator Devschuur®
11 oktober 2011 17:39
We zijn dag en nacht bezig met het controleren van de code.
Yeah right 8)7. Als de beste man geloofwaardig over probeer te komen moet hij niet met dat soort onzinstatements komen. Code reviews en audits doe je gewoon onder werktijd, tenzij de nood echt aan de man is maar er is niets waar dat uit blijkt.

En dan die zin die daarop volgt:
Daarbij focusten we ons voornamelijk op sql-injecties, waardoor we niet aan een xss-lek hadden gedacht
Natuurlijk snapt een bekwaam webdeveloper dat beide net zo relevant zijn. Gegeven deze en de vorige opmerking én het feit dat het uit de mond van de directeur komt krijg ik meer het idee dat hij eerst voor wat buzzwords heeft gewikipedia'd voor het tikken van z'n reactie, om de indruk te werken dat ze veiligheid hoog in het vaandel hebben staan.

[Reactie gewijzigd door .oisyn op 24 juli 2024 19:34]

Niemand_Anders
@.oisyn12 oktober 2011 09:33
Daarnaast hoort ELKE programmeur de OWASP top 10 te kennen.

Sql-injection staat inderdaad op nummer 1 en XSS injection staat op nummer 2. Helaas zijn de twee meest vaak voorkomende vulnarabilities ook het meest eenvoudige om te voorkomen..

Wat mij betreft mogen de development bedrijven welke websites opleveren voor de overheid ook gewoon verantwoordelijk worden gehouden voor de schade als deze mocht ontstaan door ondeugdelijk programmeur werk van een devver.

Maar zoals vaak blijven deze berichten beperkt tot de tech sites en Henk en Ingrid horen hier eigenlijk nooit wat van..
Anoniem: 142022 11 oktober 2011 20:43
Eigenlijk toont het aan dat er een apart departement moet komen dat landelijk verantwoordelijk moet zijn voor alle hosting omtrent rijksoverheid, gemeente en provinciaal niveau.
Anoniem: 412800 @Anoniem: 14202211 oktober 2011 23:07
Dat wordt nog knap lastig met een regering die vooral minder ambtenaren wil. Externen inhuren is ook weer geen goed idee.
De Waterschappen hebben wel hun CMS gelijk getrokken en de IT centraal geregeld. Sinds 2006.
Maar ja, de Waterschappen, die heffen hun eigen belasting :)

[Reactie gewijzigd door Anoniem: 412800 op 24 juli 2024 19:34]

Nedra 11 oktober 2011 18:05
Gemeentes en betrokken partijen zouden er goed aan doen om voorlopig niet te roepen dat er geen lekken meer zijn en dat alles gedicht is. Elke keer als ze dat zeggen worden er weer zwakheden gevonden. Misschien is een statement als 'is in onderzoek' beter dan non-stop te zeggen dat het nu écht goed is.
Anoniem: 80466 11 oktober 2011 20:16
Dit artikel is een verlichting vergeleken met de enorme berg nonsense berichten op Webwereld waar dagenlang over lekken in gemeentelijke websites wordt gesproken zonder ook maar 1 lek concreet te benoemen.
mmax91 @Anoniem: 8046612 oktober 2011 06:27
"Wanneer we zeker weten dat de lekken zijn gedicht, zullen we alles openbaar maken. Om dit nu al te doen is te riskant"
Anoniem: 80466 @mmax9112 oktober 2011 08:13
Het hoeft niet zo ver te gaan dat de uitvoering van exploit er in detail bij staat maar toch minstens wel noemen wat voor soort lek er aanwezig is. Dat is ook relevant voor het bepalen van het risico.
Anoniem: 221563 11 oktober 2011 22:57
Pff, heb veel moeten samenwerken met SIMgroep. Blij dat ik er niet werk. Al die zeurende ambtenaren om niets. Ben je daar de hele dag mee bezig, vergeet je iets, krijg je op de kop.

Ja, zou niet moeten mogen gebeuren. Maar iedereen vergeet wel iets. Daarna kun je onmogelijk alle mogelijkheden testen om de bugs eruit te halen.

SIMgroep is voornamelijk bezig met ondersteuning (die is er veel nodig, de meeste ambtenaren die toen in de zaal zaten hadden amper ooit een computer opgestart) en sites up to date houden. Ze hebben amper de tijd om hun eigen systeem te upgraden. De laatste grote update wordt momenteel nog steeds doorgevoerd. Paar gemeentes per dag een deel.

Ik ken het bedrijf, ik ken een aantal mensen die er werken en ze doen zeker wel goed hun best. Ik begrijp gerust dat het mogelijk is dat er een lek in zit. En ik wed dat als we allemaal zoeken dat we nog wel meer dingen vinden.

Kijk naar software als het besturingssysteem voor de iPhone. Die wordt ook telkens gekraakt door een lek. En daar zit nog veel meer geld en tijd in.

Gemeentesite is niet zomaar ff een site. Alleen het digitaal loket zelf is al enorm.

Succes aan SIMgroep, ik wed dat jullie het nodig hebben.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq