Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 51 reacties
Submitter: Nonstop365

De website van de gemeente Ede is onlangs doelwit geweest van een aanval, waarbij de daders mogelijk toegang hadden tot de database met daarin gegevens van 3700 burgers. Onderzoek wijst uit dat de daders waarschijnlijk niet uit waren op persoonsgegevens.

Ede logoDe database die toegankelijk was voor de criminelen, bevatte de naam, het adres, de woonplaats, het e-mailadres en het telefoonnummer van mensen die van het algemene contactformulier op ede.nl gebruikmaakten in de periode 7 januari 2015 tot en met 8 juli 2016. Sommigen van hen hadden daarnaast hun burgerservicenummer en bankrekeningnummer ingevuld en verder bevatte de database enkele e-mailadressen van werknemers van de gemeente. Ede licht alle betrokkenen persoonlijk in over de gevolgen.

De gemeente heeft een beveiligingsbureau onderzoek laten doen naar de hack en dat komt tot de conclusie dat de daders inbraken op de server om zoekmachines te manipuleren. Hun doel zou zijn geweest om bezoekers door te sluizen naar externe sites met daarop advertenties en aanbiedingen om geld te lenen. Het bureau heeft geen aanwijzingen dat de criminelen ook daadwerkelijk de database hebben benaderd, maar kan dit ook niet uitsluiten. Waarschijnlijk was de aanval afkomstig uit Oost-Europa, waar criminelen vaker dit soort tactieken zouden hanteren voor zoekmanipulatie.

De gemeente Ede heeft de database inmiddels gewist en wijst betrokkenen op de mogelijkheid de gemeente aansprakelijk te stellen als er aantoonbare schade is geleden, bijvoorbeeld door identiteitsfraude.

Moderatie-faq Wijzig weergave

Reacties (51)

De BSN nummers die hier gelekt zijn, zijn door mensen zelf in een contactformulier gezet.
Onder het contactformulier staat: Stuur geen privacy gevoelige gegevens mee, zoals BSN of rekeningnummers.
(Ja, het staat er dikgedrukt) .

De gemeente lekt hier dus geen database met BSN, maar alleen de gegevens van mensen die de dikgedrukte waarschuwing negeren.
Dat staat onder het huidige formulier wat op een externe website wordt gehost.

Maar stond dat ook onder het oorspronkelijke formulier wat op de eigen website stond?
Geen idee deze pagina: https://web.archive.org/w...contact/contactformulier/
is niet beschikbaar binnen the webarchive. Kan best zijn dat het er toen nog niet onderstond.
Waarom geen validatie uitvoeren als men alsnog een BSN oid toevoegt, simpelweg door XXX XXX XXX vervangen? Scheelt een hoop privacy gezeur en als men de data alsnog nodig heeft dan kan de gemeente een terugkoppeling via de mail doen en het daarna telefonisch afhandelen.
Omdat een BSn natuurlijk op dertig duizend manier ingevoerd kan worden. Net als een rekeningnummer. De mensen die het mij in het normale format sturen (NLxxBANKxxxxxxxxxx) zijn op 1 hand te tellen. Ik heb deze verschillende al voorbij zien komen:
NL xx bank 0 reknnummer
Nlxx bank 0reknummer
Nlxx bank 0 xxxx.xx.xxx
Nlxx bank 0 xxxx xx xxx
Nlxx bank 0 xxx.xxx.xxx

En bovenstaand rijtje natuurlijk ook met en zonder spaties. Punten op rare plaatsen. Snappen mensen niet dat je tegenwoordig een nummer niet meer over hoeft te schrijven en dat je dat gewoon kan kopieeren? Echt zo raar. Nou mag ik het continue gaan verbeteren naar standaard format omdat m'n app anders niet werkt.

Regex voor dergelijke dingen gebruiken is geen strak plan. Is het je ooit wel eens opgevallen dat het nummerieke gedeelte van het iBan nummer exact even lang is als een telefoonnnummer en vaak ook begint met een 0? Daar kan je amper tegen aan regexen. Ik weet niet hoe het precies zit met een BSN, maar volgens mijnis dat ook iets van 10 cijfers. Tsja. Alle cijferreeksen met 10 getallen dan maar vervangen door "xxx"-en?
Je kan natuurlijk prima dedicated invulvelden aanmaken, voor relevante contact-gegevens, die je wel kan regexen en eventueel verplicht maken.

Dan staat het je vrij om in het free-format tekstveld eventueel de echte 'gevaarlijke' gegevens om te zetten naar xxx...

Nog steeds niet waterdicht, maar als je je 'netjes' verzamelde contact-gegevens hebt kan je altijd navraag doen over dat ene relevante stukje data, wat op zich niet 'gevaarlijk' is, maar toch naar xxx is omgezet, prima verder uitvragen.
Mee eens dat het complex is maar dat is toch juist de uitdaging om alles zo veilig mogelijk te maken en niet het vingertje te krijgen van "ja maar jullie slaan privacy gevoelige gegevens onversleuteld op". Je bouwt de validatie echter niet voor de slimme gebruiker haha.
Nee je zet er met dikgedrukte letters expliciet boven dat belangrijke, gevoelige gegevens absoluut niet in het free text veld moeten omdat de aanvraag anders gewoon niet in behandeling wordt.
Ook de email vandaag ontvangen.

Maar het is een niet persoonlijk bericht, maar een standaard email dat iedereen krijgt. Ik heb geen contactformulier ingevuld dit jaar of in 2015. Dus het is een aanname en waarschijnlijk van wie ze maar een email adres van hebben.

Zie:

Disclaimer

De inhoud van dit e-mailbericht is bestemd voor de geadresseerde. Openbaarmaking, verspreiding of verstrekking aan derden is niet in alle gevallen toegestaan en geschiedt onder verantwoordelijkheid van degene die daartoe overgaat. Indien dit e-mailbericht niet voor u is bestemd verzoeken wij u het bericht aan de afzender te retourneren en het origineel alsmede eventuele kopieën te vernietigen.

De gemeente Ede staat niet in voor de juiste en volledige overbrenging van de inhoud van een verzonden e-mail, noch voor de tijdige ontvangst daarvan. Alleen een door het bevoegde bestuursorgaan of een daartoe bevoegd persoon genomen besluit is bindend. Bekijk ook het overzicht van de <media 4797>verleende mandaten</media> (pdf).

[Reactie gewijzigd door XRayXI op 11 augustus 2016 07:29]

Dat is een standaard disclaimer die in dergelijke vorm op alle uitgaande mail van vrijwel elk bedrijf/ instantie staat. Het slaat niet specifiek op de mail over dit lek.
Het staat onderaan de email. Wat bedoel je? Zie:
"Namens het college van burgemeester en wethouders

Met vriendelijke groeten,

Marije Eleveld
Wethouder gemeente Ede

De disclaimer van de gemeente Ede is van toepassing"

[Reactie gewijzigd door XRayXI op 11 augustus 2016 09:31]

Geachte meneer, mevrouw,


Met deze e-mail brengen wij u op de hoogte van een digitale inbraak, die de website van de gemeente Ede
heeft getroffen. Tijdens deze inbraak zijn mogelijk gegevens uit een database ingezien en/of meegenomen.


U heeft in de periode 7 januari 2015 tot en met 8 juli 2016 gegevens ingevuld via het contactformulier op
www.ede.nl. Deze gegevens zijn opgeslagen in een database. Het gaat dan mogelijk om uw naam, adres,
woonplaats, telefoonnummer en/of bankrekeningnummer en uw e-mail adres.


Onderzoeksrapport
Een gespecialiseerd bureau heeft forensisch onderzoek uitgevoerd naar de digitale inbraak. Zij hebben geen
aanwijzing kunnen vinden dat de database is geraadpleegd en/of de inhoud ervan is meegenomen. Maar het
bureau kan dit ook niet voor 100 procent uitsluiten.
Volgens de onderzoekers waren de hackers er niet op uit (persoons)gegevens in te zien. De aanvallers
wilden bezoekers doorgeleiden naar externe advertentiewebsites over afvallen en het lenen van geld.

Waar moet u op letten?

We kunnen niet uitsluiten dat uw gegevens uit de database zijn gehaald. Hiermee ontstaat het risico op
identiteitsfraude. Bij identiteitsfraude maken criminelen misbruik van valse of gestolen identiteitsgegevens.
Ze doen bijvoorbeeld aankopen op naam van anderen zonder te betalen.

Informatie over identiteitsfraude vindt u op:

· www.politie.nl/themas/identiteitsfraude

· www.rijksoverheid.nl/identiteitsfraude


Maatregelen
Na constatering van de hack hebben we verschillende maatregelen genomen. Zo zijn bestanden verwijderd,
is de database leeggemaakt en zijn er diverse veiligheidsmaatregelen getroffen.

Vragen?

Heeft u vragen? Wilt u meer informatie? Kijk op www.ede.nl/digitaleinbraak. Daar vindt u de antwoorden op
de meest gestelde vragen. Of bel met ons Klant Contact Centrum: 14 0318.


Namens het college van burgemeester en wethouders


Met vriendelijke groeten,


Marije Eleveld

Wethouder gemeente Ede
An sich goede mail.

In de mail wordt echter met geen woord gerept over de mogelijkheid om de gemeente aansprakelijk te stellen bij fraude/etc...

Edit:
Pas als je klikt op de pagina zoals genoemd in de mail wordt er iets over gezegd
<Quote>"Als u aantoonbaar schade heeft geleden als gevolg van de digitale inbraak is het mogelijk om de gemeente aansprakelijk stellen"</Quote>
Hoe kan je dat bewijzen?

[Reactie gewijzigd door Black Piet op 10 augustus 2016 17:26]

Bewijzen zal lastig worden, maar misschien dat er een combinatie van gegevens gebruikt wordt die niet op andere plaatsen te vinden is. Bv. een adres of telnr dat gewijzigd is na het invullen van het digitale formulier, telnr. van de vaste telefoon, terwijl je meestal je 06 doorgeeft, bankrekeningnr. van je hypotheek-rekening (verplichte bankrekening bij de bank waar je je hypotheek hebt lopen en waar je alleen je huiszaken zoals hypotheek en OZB mee betaalt).

De gemeente kan moeilijk aansprakelijkheid nemen voor alle vage dingen die er gebeurd zijn waarvan niet duidelijk is of dat verband houdt met deze inbraak.
Ik snap je laatste punt, maar je snapt dat dan de bewijslast bij burgers wordt neergelegd wat onmogelijk is.

In veel gevallen kom je er namelijk pas achter als het daadwerkelijk is gebeurt. En dan is nog maar de vraag of je als gebruiker/inwoner kan achterhalen of dit vanuit de gemeenteproblemen voortvloeit, of vanuit bijvoorbeeld een kopie die bij een andere gemeente/overheidsinstantie is gedeponeerd. Heel veel zaken kan je namelijk niet zo makkelijk van elkaar scheiden, en niet iedereen heeft zijn zaken ook zo gescheiden

M.i. lijkt mij dit dus een onmogelijke taak voor de burger om dit te bewijzen en is de opmerking dat de schade bij de gemeente kan worden gedeclareerd een wassen neus.
/Edit: Disclaimer hier onder boven!

[Reactie gewijzigd door XRayXI op 11 augustus 2016 09:10]

Verbaast me weinig eerlijk gezegd.

Alleen al het webgedeelte:

- Servertje draait Apache ipv NGINX en nog stokoud ook
- Een oude PHP-versie
- Geen IPv6-toegankelijkheid
- Niet beveiligd met DNSSEC en (dus) ook geen DANE
- HTTP-compressie staat nog aan (BEAST-attack)
- Geen OCSP-stapling
- Geen HSTS-preloading
- Geen HPKP
- Sommige certificaten (Thawte) zijn ondertekend met een hash-methode die niet veilig is (SHA1)
- CMS Typo3 trekt diverse geautomatiseerde scanbots aan

Wat betreft mail is alles ook bijzonder triest:

- Ook niet via IPv6 bereikbaar
- Geen DNSSEC en (dus) ook geen DANE
- Geen DMARC-policy
- Geen SPF-policy

Een implementatie welke geen gebruik maakt van de beschikbare moderne technieken, terwijl veel burgers er afhankelijk van (kunnen) zijn, zeker in geval van berichtgeving bij calamiteiten.
- Apache is niet onveilig. Stokoude NGINX is net zo slecht als Apache.
- PHP 5.5.38 is de nieuwste stabiele PHP 5.5 versie.
- Geen IPv6 toegankelijkheid heeft niets met veiligheid te maken
- Tweakers.net heeft ook geen DNSSEC ;)
- BEAST is een client-side probleem en eenvoudig op te lossen door je browser te updaten
- OCSP, HPKP zijn optioneel en niet noodzakelijk
- HSTS is wél ingeschakeld
- Een groot CMS dat scanbots aantrekt als meestal veiliger dan een in elkaar geprutste oplossing

Ik zou me eigenlijk alleen zorgen maken over de SHA-1 intermediate...

Test je eigen site trouwens ook als je het interessant vindt:
https://www.ssllabs.com/ssltest/

Ja, er kan verbeterd worden maar zo erg is het nou ook weer niet. Veel gemeentes hebben het véél slechter voor elkaar.

P.S. Je hebt je eigen site wél goed voor elkaar Hans ;)

[Reactie gewijzigd door unglaublich op 10 augustus 2016 15:31]

Wilde inderdaad al zeggen. Apache is vooralsnog gewoon een standaard, waar Nginx terrein lijkt te winnen.

Juist als je dit soort instanties gaat afdwingen om de -nieuwste- implementaties te moeten gaan gebruiken, ga je gaten creëren.

Er wordt inderdaad standaard gescant op de exploits van de grotere CMS systemen, maar het gebruiken van éen is niet het probleem.
De vraag is eerder: hebben zij een service contract bij netcreators.nl ?
Die hebben de boel immers aangeleverd.
Idem vraag voor de hosting partij LeaseWeb natuurlijk.
De vraag is eerder: hebben zij een service contract bij netcreators.nl ?
De gemeente moet zich verantwoorden naar diens burgers. Wie aan de gemeente moet verantwoorden is irrelevant voor de burgers.
Idem vraag voor de hosting partij LeaseWeb natuurlijk.
LW zal alleen de server beschikbaar stellen, denk niet dat die verantwoordelijk zijn voor de software.
Dat hangt er maar net vanaf "assumption is the mother of all fuck-ups".
Wij weten niet wat er is afgenomen bij LW: Colo/VPS/Dedicated Managed/SLA?
De vraag is eerder: hebben zij een service contract bij netcreators.nl ?
Die hebben de boel immers aangeleverd.
Idem vraag voor de hosting partij LeaseWeb natuurlijk.
Mijn ervaring is dat het onmogelijk is om een contract te sluiten waarbij de leverancier echt verantwoordelijk is voor software. Veel meer dan "best effort" ga je niet krijgen, zeker niet als het om beveiliging. Ik heb ooit een van onze juristen om boos te worden op zo'n bedrijf,. hij lachte me nog net niet uit. De conclusie was dat IT te moeilijk is om rechtszaken over te voeren, niemand snapt waar het over gaat. Op z'n minst zouden we bewijzen dat we financiele schade hebben. 's nachts uit bed gebeld worden om puin te ruime is niet genoeg.

Als je echt een contract wil waarin de verantwoordelijkheid helemaal is afgedekt dan wordt het zo duur dat niemand het nog kan betalen. Dat is geen optie en dus nemen we de gok maar.
De vraag is eerder: hebben zij een service contract bij netcreators.nl ?
Die hebben de boel immers aangeleverd.
Idem vraag voor de hosting partij LeaseWeb natuurlijk.
Nee de gemeente Ede heeft al een paar jaar geleden de hosting en het supportcontract met SLA voor het CMS Typo3 opgezegd. Toen was de mededeling dat ze dit intern zelf gingen verzorgen. Ik lees nu dat het inmiddels weer is uitbesteed maar niet aan wie. In ieder geval niet aan Netcreators. Wij voeren SLA's vrij strikt uit.

Sander Vogels
Netcreators BV

[Reactie gewijzigd door Sander Vogels op 15 augustus 2016 16:16]

Is het dan verstandig om voortaan niet je naam in de broncode te vermelden?
Hoef je je ook niet te verantwoorden ;)
Zo gaat het in veel bedrijven. Zolang het blijft werken wordt er geen aandacht aan besteed. Ik denk dat het niet altijd onwil is, maar vaak ook een gebrek aan kennis.
Als toelichting op m'n bovenstaande constateringen: ik besef dat dit niet (allemaal) direct verband houdt met een hack, maar ik wil hiermee aangeven dat veel meer belangrijke moderne technieken daar niet omarmd worden, m.i. een kwalijke zaak. Overigens staat PHP daar los van, de veiligheid van PHP hangt voor grotere mate af van de manier van programmeren, de kwaliteit van de code. In dit geval is het gebaseerd op het Typo3 framework.
Weer iets wat gemaakt is door mensen, zucht...
Slechte zaak.

Ik snap ook niet dat ze een hoop hebben gedecentraliseerd. Het scheelt misschien rompslomp en burocratie. Maar een centrale IT dienst heeft meer slagkracht voor professionele oplossingen. Nu krijg je 1000 verschillende oplossingen waarvan een x aantal niet veilig.
En dan wordt er miljoenen tegenaan gegooit en vervolgens de stekker er uit getrokken zoals bijvoorbeeld bij de Politie en Belastingdienst?
Je hebt dan immers opeens te maken met wensen en ideeën van alle gemeenten op 1 hoop.
Neem bijvoorbeeld "parkeerbeheer", niet elke gemeente heeft het zelfde systeem.
Dat een centrale IT dienst meer slagkracht heeft is niet per definitie het geval. Het doel van outsourcen is juist dat jij als bedrijf je kunt bezig houden met dat waar je goed in bent en niet het beheer op je moet nemen. Dat betekend namelijk expertise inkopen/inhuren, up to date houden etc.

Je gaat er vanuit dat wanneer je met een professionele partij zaken gaat doen dat deze partij dat dan voor je doet. Als je eerste taak niet ICT gerelateerd is dan is dat, naar mijn mening, de enige juiste weg. Laat de experts het oplossen. Dat er vervolgens nogal veel cowboys zijn die zich als expert te koop zetten?
Helemaal mee eens, elke gemeente doet maar wat, terwijl 95% van de functionaliteit tussen gemeente websites gelijk is.
Zelfs voor het uitbesteden van het maken en onderhoud van een website bij een 3e partij hebben ze vaak te weinig verstand van zaken om zelf alle requirements op een rij te zetten en dicht te spijker.
Wel zijn de samenwerkende gemeentes momenteel bezig om meer ICT projecten samen op te zetten, maar dat staat nog in de kinderschoenen :
https://vng.nl/onderwerpe...id/digitale-agenda-2020-0
Op IT gebied zijn er 396 eilandjes, elke gemeente vindt het wiel lekker opnieuw uit, en hele software sector spint er garen bij. Idem de GBKN ondergrond, waar alle gemeenten samen aan leverden, behalve Amsterdam, die op eigen houtje de GBKA onderhielden, welke subtiel anders was als de rest. (en zo waren er meer gemeenten) Waterschappen deden het met Intwis (GIS systeem), daar zijn ze ook al 10+ jaar ism ESRI mee bezig, het krijgt elke 2 jaar een nieuwe naam, en dan heeft ESRI NL weer eens het best jaar ooit qua omzet.
Jammer dat het gebeurd, maar toch ook wel weer netjes dat ze iedereen persoonlijk benaderen, en er open en eerlijk over zijn.
Dat zijn ze verplicht.

https://autoriteitpersoon...den/meldplicht-datalekken

[Reactie gewijzigd door nervwrecker op 10 augustus 2016 15:49]

Das een wettelijke verplichting: "U hoeft de betrokkenen (de personen van wie u gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer." Gezien hier BSN-nummers zijn gelekt moeten ze wel.
Leuk icoontje,

Nu weet ik hoe een uitgelekte burger er uit ziet
Leuk icoontje,

Nu weet ik hoe een uitgelekte burger er uit ziet
Je krijgt dan een -1 van iedereen, maar dit is de eerste reactie hier die ik lees die ik écht kan waarderen. Relevant of niet, doet er dan even niet toe. +1 !
Dank,
Dacht dat het on topic was ;)
Een beveiligingsmedewerker van de gemeente kwam het lek op 8 juli op het spoor na een routinecheck. Daaruit bleek ook dat sommige pagina's van de gemeentesite doorverwezen werd naar pagina's over afslankpillen. Vervolgens is er een extern bureau ingeschakeld en is het lek verholpen.
WTF er is geen landelijk systeem voor gemeentes ? Lagere kosten betere beveiliging ivm groter budget!?
Ik riep dat ook al jaren , maar het alternatief blijkt vaak ook niet beter.....1 aanbieder is ook geen oplossing, de prijzen gaan sky high.
Centric heeft in gemeente land bijna een monopolie positie. De diensten die ze leveren zijn bijna onbetaalbaar en de kwaliteit van de software is ver onder de maat.
Zover ik weet is er ook nog Pink Roccade software?
En staat het vrij voor andere bedrijven om in het gat te springen.
Gemeenteland is echter lastig. Soms worden wetten pas op het laatste moment in het jaar herschreven en moet software binnen een maand worden aangepast om aan die wet te voldoen. Dat kunnen niet alle bedrijven voor elkaar krijgen
Maar dat is tegenwoordig geen alternatief..... De digitene onder de Gemeente applicatie bouwers. Een echt alternatief voor Centric is er niet.
Dimpact heb je ook nog. Wil je niet, maar is er desondanks wel.
Rare opmerking in de FAQ onderaan de pagina over de inbraak: "De website is gehacked door zoekresultaten te manipuleren." Afgezien van het feit dat het 'gehackt' is, had daar niet moeten staan: "De website is gehackt OM zoekresultaten te manipuleren"?

[Reactie gewijzigd door MIster X op 11 augustus 2016 00:27]

Wellicht bedoelen ze dat er een SQL injectie mogelijk was via de zoekfunctionaliteit?

Ontopic, tijd dat gemeentelijke websites landelijk geregeld gaan worden. Hooguit een eigen stylesheet per gemeente, plus eventueel de mogelijkheid om bepaalde functionaliteit aan of uit te zetten. Maar volgens mij is decentralisatie hier niet goed.
Hoewel dit misschien leuk klinkt en ik hier ook wel een voorstander van ben denk ik dat dit niet echt gaat werken. Elke gemeente heeft zo haar eigen eisen en wensen binnen een website, ten eerste gaat de ontwikkeling hierdoor juist alleen maar achteruit. Daarnaast sluit wellicht hierdoor allerlei software binnen de gemeente niet meer aan op de website en gezien het feit gemeentes niet graag veranderingen zien zal dit wel eens lang kunnen gaan duren.

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True