×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Inbrekers gemeentesite Ede hadden mogelijk toegang tot data 3700 burgers

Door , 51 reacties, submitter: Nonstop365

De website van de gemeente Ede is onlangs doelwit geweest van een aanval, waarbij de daders mogelijk toegang hadden tot de database met daarin gegevens van 3700 burgers. Onderzoek wijst uit dat de daders waarschijnlijk niet uit waren op persoonsgegevens.

Ede logoDe database die toegankelijk was voor de criminelen, bevatte de naam, het adres, de woonplaats, het e-mailadres en het telefoonnummer van mensen die van het algemene contactformulier op ede.nl gebruikmaakten in de periode 7 januari 2015 tot en met 8 juli 2016. Sommigen van hen hadden daarnaast hun burgerservicenummer en bankrekeningnummer ingevuld en verder bevatte de database enkele e-mailadressen van werknemers van de gemeente. Ede licht alle betrokkenen persoonlijk in over de gevolgen.

De gemeente heeft een beveiligingsbureau onderzoek laten doen naar de hack en dat komt tot de conclusie dat de daders inbraken op de server om zoekmachines te manipuleren. Hun doel zou zijn geweest om bezoekers door te sluizen naar externe sites met daarop advertenties en aanbiedingen om geld te lenen. Het bureau heeft geen aanwijzingen dat de criminelen ook daadwerkelijk de database hebben benaderd, maar kan dit ook niet uitsluiten. Waarschijnlijk was de aanval afkomstig uit Oost-Europa, waar criminelen vaker dit soort tactieken zouden hanteren voor zoekmanipulatie.

De gemeente Ede heeft de database inmiddels gewist en wijst betrokkenen op de mogelijkheid de gemeente aansprakelijk te stellen als er aantoonbare schade is geleden, bijvoorbeeld door identiteitsfraude.

Door Olaf van Miltenburg

Nieuwscoördinator

10-08-2016 • 14:37

51 Linkedin Google+

Submitter: Nonstop365

Reacties (51)

Wijzig sortering
De BSN nummers die hier gelekt zijn, zijn door mensen zelf in een contactformulier gezet.
Onder het contactformulier staat: Stuur geen privacy gevoelige gegevens mee, zoals BSN of rekeningnummers.
(Ja, het staat er dikgedrukt) .

De gemeente lekt hier dus geen database met BSN, maar alleen de gegevens van mensen die de dikgedrukte waarschuwing negeren.
Dat staat onder het huidige formulier wat op een externe website wordt gehost.

Maar stond dat ook onder het oorspronkelijke formulier wat op de eigen website stond?
Geen idee deze pagina: https://web.archive.org/w...contact/contactformulier/
is niet beschikbaar binnen the webarchive. Kan best zijn dat het er toen nog niet onderstond.
Waarom geen validatie uitvoeren als men alsnog een BSN oid toevoegt, simpelweg door XXX XXX XXX vervangen? Scheelt een hoop privacy gezeur en als men de data alsnog nodig heeft dan kan de gemeente een terugkoppeling via de mail doen en het daarna telefonisch afhandelen.
Omdat een BSn natuurlijk op dertig duizend manier ingevoerd kan worden. Net als een rekeningnummer. De mensen die het mij in het normale format sturen (NLxxBANKxxxxxxxxxx) zijn op 1 hand te tellen. Ik heb deze verschillende al voorbij zien komen:
NL xx bank 0 reknnummer
Nlxx bank 0reknummer
Nlxx bank 0 xxxx.xx.xxx
Nlxx bank 0 xxxx xx xxx
Nlxx bank 0 xxx.xxx.xxx

En bovenstaand rijtje natuurlijk ook met en zonder spaties. Punten op rare plaatsen. Snappen mensen niet dat je tegenwoordig een nummer niet meer over hoeft te schrijven en dat je dat gewoon kan kopieeren? Echt zo raar. Nou mag ik het continue gaan verbeteren naar standaard format omdat m'n app anders niet werkt.

Regex voor dergelijke dingen gebruiken is geen strak plan. Is het je ooit wel eens opgevallen dat het nummerieke gedeelte van het iBan nummer exact even lang is als een telefoonnnummer en vaak ook begint met een 0? Daar kan je amper tegen aan regexen. Ik weet niet hoe het precies zit met een BSN, maar volgens mijnis dat ook iets van 10 cijfers. Tsja. Alle cijferreeksen met 10 getallen dan maar vervangen door "xxx"-en?
Je kan natuurlijk prima dedicated invulvelden aanmaken, voor relevante contact-gegevens, die je wel kan regexen en eventueel verplicht maken.

Dan staat het je vrij om in het free-format tekstveld eventueel de echte 'gevaarlijke' gegevens om te zetten naar xxx...

Nog steeds niet waterdicht, maar als je je 'netjes' verzamelde contact-gegevens hebt kan je altijd navraag doen over dat ene relevante stukje data, wat op zich niet 'gevaarlijk' is, maar toch naar xxx is omgezet, prima verder uitvragen.
Mee eens dat het complex is maar dat is toch juist de uitdaging om alles zo veilig mogelijk te maken en niet het vingertje te krijgen van "ja maar jullie slaan privacy gevoelige gegevens onversleuteld op". Je bouwt de validatie echter niet voor de slimme gebruiker haha.
Ook de email vandaag ontvangen.

Maar het is een niet persoonlijk bericht, maar een standaard email dat iedereen krijgt. Ik heb geen contactformulier ingevuld dit jaar of in 2015. Dus het is een aanname en waarschijnlijk van wie ze maar een email adres van hebben.

Zie:

Disclaimer

De inhoud van dit e-mailbericht is bestemd voor de geadresseerde. Openbaarmaking, verspreiding of verstrekking aan derden is niet in alle gevallen toegestaan en geschiedt onder verantwoordelijkheid van degene die daartoe overgaat. Indien dit e-mailbericht niet voor u is bestemd verzoeken wij u het bericht aan de afzender te retourneren en het origineel alsmede eventuele kopieën te vernietigen.

De gemeente Ede staat niet in voor de juiste en volledige overbrenging van de inhoud van een verzonden e-mail, noch voor de tijdige ontvangst daarvan. Alleen een door het bevoegde bestuursorgaan of een daartoe bevoegd persoon genomen besluit is bindend. Bekijk ook het overzicht van de <media 4797>verleende mandaten</media> (pdf).

[Reactie gewijzigd door XRayXI op 11 augustus 2016 07:29]

Dat is een standaard disclaimer die in dergelijke vorm op alle uitgaande mail van vrijwel elk bedrijf/ instantie staat. Het slaat niet specifiek op de mail over dit lek.
Het staat onderaan de email. Wat bedoel je? Zie:
"Namens het college van burgemeester en wethouders

Met vriendelijke groeten,

Marije Eleveld
Wethouder gemeente Ede

De disclaimer van de gemeente Ede is van toepassing"

[Reactie gewijzigd door XRayXI op 11 augustus 2016 09:31]

Geachte meneer, mevrouw,


Met deze e-mail brengen wij u op de hoogte van een digitale inbraak, die de website van de gemeente Ede
heeft getroffen. Tijdens deze inbraak zijn mogelijk gegevens uit een database ingezien en/of meegenomen.


U heeft in de periode 7 januari 2015 tot en met 8 juli 2016 gegevens ingevuld via het contactformulier op
www.ede.nl. Deze gegevens zijn opgeslagen in een database. Het gaat dan mogelijk om uw naam, adres,
woonplaats, telefoonnummer en/of bankrekeningnummer en uw e-mail adres.


Onderzoeksrapport
Een gespecialiseerd bureau heeft forensisch onderzoek uitgevoerd naar de digitale inbraak. Zij hebben geen
aanwijzing kunnen vinden dat de database is geraadpleegd en/of de inhoud ervan is meegenomen. Maar het
bureau kan dit ook niet voor 100 procent uitsluiten.
Volgens de onderzoekers waren de hackers er niet op uit (persoons)gegevens in te zien. De aanvallers
wilden bezoekers doorgeleiden naar externe advertentiewebsites over afvallen en het lenen van geld.

Waar moet u op letten?

We kunnen niet uitsluiten dat uw gegevens uit de database zijn gehaald. Hiermee ontstaat het risico op
identiteitsfraude. Bij identiteitsfraude maken criminelen misbruik van valse of gestolen identiteitsgegevens.
Ze doen bijvoorbeeld aankopen op naam van anderen zonder te betalen.

Informatie over identiteitsfraude vindt u op:

· www.politie.nl/themas/identiteitsfraude

· www.rijksoverheid.nl/identiteitsfraude


Maatregelen
Na constatering van de hack hebben we verschillende maatregelen genomen. Zo zijn bestanden verwijderd,
is de database leeggemaakt en zijn er diverse veiligheidsmaatregelen getroffen.

Vragen?

Heeft u vragen? Wilt u meer informatie? Kijk op www.ede.nl/digitaleinbraak. Daar vindt u de antwoorden op
de meest gestelde vragen. Of bel met ons Klant Contact Centrum: 14 0318.


Namens het college van burgemeester en wethouders


Met vriendelijke groeten,


Marije Eleveld

Wethouder gemeente Ede
An sich goede mail.

In de mail wordt echter met geen woord gerept over de mogelijkheid om de gemeente aansprakelijk te stellen bij fraude/etc...

Edit:
Pas als je klikt op de pagina zoals genoemd in de mail wordt er iets over gezegd
<Quote>"Als u aantoonbaar schade heeft geleden als gevolg van de digitale inbraak is het mogelijk om de gemeente aansprakelijk stellen"</Quote>
Hoe kan je dat bewijzen?

[Reactie gewijzigd door Black Piet op 10 augustus 2016 17:26]

Bewijzen zal lastig worden, maar misschien dat er een combinatie van gegevens gebruikt wordt die niet op andere plaatsen te vinden is. Bv. een adres of telnr dat gewijzigd is na het invullen van het digitale formulier, telnr. van de vaste telefoon, terwijl je meestal je 06 doorgeeft, bankrekeningnr. van je hypotheek-rekening (verplichte bankrekening bij de bank waar je je hypotheek hebt lopen en waar je alleen je huiszaken zoals hypotheek en OZB mee betaalt).

De gemeente kan moeilijk aansprakelijkheid nemen voor alle vage dingen die er gebeurd zijn waarvan niet duidelijk is of dat verband houdt met deze inbraak.
Ik snap je laatste punt, maar je snapt dat dan de bewijslast bij burgers wordt neergelegd wat onmogelijk is.

In veel gevallen kom je er namelijk pas achter als het daadwerkelijk is gebeurt. En dan is nog maar de vraag of je als gebruiker/inwoner kan achterhalen of dit vanuit de gemeenteproblemen voortvloeit, of vanuit bijvoorbeeld een kopie die bij een andere gemeente/overheidsinstantie is gedeponeerd. Heel veel zaken kan je namelijk niet zo makkelijk van elkaar scheiden, en niet iedereen heeft zijn zaken ook zo gescheiden

M.i. lijkt mij dit dus een onmogelijke taak voor de burger om dit te bewijzen en is de opmerking dat de schade bij de gemeente kan worden gedeclareerd een wassen neus.
Verbaast me weinig eerlijk gezegd.

Alleen al het webgedeelte:

- Servertje draait Apache ipv NGINX en nog stokoud ook
- Een oude PHP-versie
- Geen IPv6-toegankelijkheid
- Niet beveiligd met DNSSEC en (dus) ook geen DANE
- HTTP-compressie staat nog aan (BEAST-attack)
- Geen OCSP-stapling
- Geen HSTS-preloading
- Geen HPKP
- Sommige certificaten (Thawte) zijn ondertekend met een hash-methode die niet veilig is (SHA1)
- CMS Typo3 trekt diverse geautomatiseerde scanbots aan

Wat betreft mail is alles ook bijzonder triest:

- Ook niet via IPv6 bereikbaar
- Geen DNSSEC en (dus) ook geen DANE
- Geen DMARC-policy
- Geen SPF-policy

Een implementatie welke geen gebruik maakt van de beschikbare moderne technieken, terwijl veel burgers er afhankelijk van (kunnen) zijn, zeker in geval van berichtgeving bij calamiteiten.
- Apache is niet onveilig. Stokoude NGINX is net zo slecht als Apache.
- PHP 5.5.38 is de nieuwste stabiele PHP 5.5 versie.
- Geen IPv6 toegankelijkheid heeft niets met veiligheid te maken
- Tweakers.net heeft ook geen DNSSEC ;)
- BEAST is een client-side probleem en eenvoudig op te lossen door je browser te updaten
- OCSP, HPKP zijn optioneel en niet noodzakelijk
- HSTS is wél ingeschakeld
- Een groot CMS dat scanbots aantrekt als meestal veiliger dan een in elkaar geprutste oplossing

Ik zou me eigenlijk alleen zorgen maken over de SHA-1 intermediate...

Test je eigen site trouwens ook als je het interessant vindt:
https://www.ssllabs.com/ssltest/

Ja, er kan verbeterd worden maar zo erg is het nou ook weer niet. Veel gemeentes hebben het véél slechter voor elkaar.

P.S. Je hebt je eigen site wél goed voor elkaar Hans ;)

[Reactie gewijzigd door unglaublich op 10 augustus 2016 15:31]

Wilde inderdaad al zeggen. Apache is vooralsnog gewoon een standaard, waar Nginx terrein lijkt te winnen.

Juist als je dit soort instanties gaat afdwingen om de -nieuwste- implementaties te moeten gaan gebruiken, ga je gaten creëren.

Er wordt inderdaad standaard gescant op de exploits van de grotere CMS systemen, maar het gebruiken van éen is niet het probleem.
De vraag is eerder: hebben zij een service contract bij netcreators.nl ?
Die hebben de boel immers aangeleverd.
Idem vraag voor de hosting partij LeaseWeb natuurlijk.
De vraag is eerder: hebben zij een service contract bij netcreators.nl ?
De gemeente moet zich verantwoorden naar diens burgers. Wie aan de gemeente moet verantwoorden is irrelevant voor de burgers.
Zo gaat het in veel bedrijven. Zolang het blijft werken wordt er geen aandacht aan besteed. Ik denk dat het niet altijd onwil is, maar vaak ook een gebrek aan kennis.
Als toelichting op m'n bovenstaande constateringen: ik besef dat dit niet (allemaal) direct verband houdt met een hack, maar ik wil hiermee aangeven dat veel meer belangrijke moderne technieken daar niet omarmd worden, m.i. een kwalijke zaak. Overigens staat PHP daar los van, de veiligheid van PHP hangt voor grotere mate af van de manier van programmeren, de kwaliteit van de code. In dit geval is het gebaseerd op het Typo3 framework.
Slechte zaak.

Ik snap ook niet dat ze een hoop hebben gedecentraliseerd. Het scheelt misschien rompslomp en burocratie. Maar een centrale IT dienst heeft meer slagkracht voor professionele oplossingen. Nu krijg je 1000 verschillende oplossingen waarvan een x aantal niet veilig.
En dan wordt er miljoenen tegenaan gegooit en vervolgens de stekker er uit getrokken zoals bijvoorbeeld bij de Politie en Belastingdienst?
Je hebt dan immers opeens te maken met wensen en ideeën van alle gemeenten op 1 hoop.
Neem bijvoorbeeld "parkeerbeheer", niet elke gemeente heeft het zelfde systeem.
Jammer dat het gebeurd, maar toch ook wel weer netjes dat ze iedereen persoonlijk benaderen, en er open en eerlijk over zijn.
Dat zijn ze verplicht.

https://autoriteitpersoon...den/meldplicht-datalekken

[Reactie gewijzigd door nervwrecker op 10 augustus 2016 15:49]

Das een wettelijke verplichting: "U hoeft de betrokkenen (de personen van wie u gegevens verwerkt) alleen te informeren als een datalek waarschijnlijk ongunstige gevolgen heeft voor hun persoonlijke levenssfeer." Gezien hier BSN-nummers zijn gelekt moeten ze wel.
Een beveiligingsmedewerker van de gemeente kwam het lek op 8 juli op het spoor na een routinecheck. Daaruit bleek ook dat sommige pagina's van de gemeentesite doorverwezen werd naar pagina's over afslankpillen. Vervolgens is er een extern bureau ingeschakeld en is het lek verholpen.
WTF er is geen landelijk systeem voor gemeentes ? Lagere kosten betere beveiliging ivm groter budget!?

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*