Gemeente Buren: Daders ransomwareaanval gebruikten gestolen inloggegevens

De Gelderse gemeente Buren heeft woensdag de oorzaak van de ransomwareaanval in april bekendgemaakt. De daders hebben gestolen inloggegevens van de softwareleverancier gebruikt om binnen te komen in het systeem van de gemeente.

Het onderzoek naar de aanval is deze week afgerond. Daaruit bleek dat de hackers gestolen inloggegevens van de softwareleverancier gebruikten om in te breken en de ransomware te installeren. Op het account dat de criminelen gebruikten stond geen tweestapsverificatie geactiveerd, meldt de gemeente. Om welke softwareleverancier het gaat, zegt de gemeente niet.

Begin april werden de gemeenten Buren en Neder-Betuwe getroffen door een ransomwareaanval. Drie weken later bleek dat er 130GB aan gegevens van Gemeente Buren op het darkweb stonden. In het systeem van de overheidsinstantie stonden 1.331 kopieën van paspoorten en identiteitsbewijzen opgeslagen. De gemeente heeft de getroffen burgers aangeboden om deze kosteloos te laten vervangen.

Burgemeester Josan Meijers sluit niet uit dat er nog meer gegevens kunnen opduiken op het darkweb. De gemeente heeft op advies van cybersecurityexperts en de Rijksoverheid niet onderhandeld met de daders. Het is nog niet bekend wie achter de aanval zit.

Door Loïs Franx

Redacteur

Feedback • 15-06-2022 19:1545

15-06-2022 • 19:15

45 Linkedin

Lees meer

Auto-onderdelenwebshop Autodoc waarschuwt klanten voor datalek Nieuws van 23 augustus 2022
Hackers vallen softwareleverancier van vijf Limburgse gemeenten aan Nieuws van 17 augustus 2022
Enisa: merendeel van ransomware-infecties wordt niet gemeld aan autoriteiten Nieuws van 2 augustus 2022
Dierentuin Artis getroffen door ransomware Nieuws van 28 juni 2022
NWWI-lek maakte ID's en 'honderdduizenden' huizentaxaties downloadbaar Nieuws van 4 mei 2022
Bestanden van Gelderse gemeenten staan op darkweb na ransomwareaanval Nieuws van 21 april 2022
Meer producten en artikelen
Politiek en recht Cybercrime Datalek Nederland

Reacties (45)

-Moderatie-faq
45
45
35
2
0
1
Wijzig sortering
Meg
15 juni 2022 19:21
"Op het account dat de criminelen gebruikten stond geen tweestapsverificatie geactiveerd" maar je zou toch denken dat tweestapsverificatie in zulke gevallen (overheidsorganen) verplicht is?

Dit lijkt mij ook een flinke fout van de gemeente, die daardoor niet om de veiligheid van zijn inwoners geeft?
Tonkie1967
@Meg15 juni 2022 20:34
Dat zie je wel vaker als leveranciers voor support of beheer toegang hebben tot de it systemen vd klanten dat ze een uitzondering hebben mbt 2FA. En voor leveranciers die heel incidenteel toegang nodig hebben ook begrijpelijk maar dan zou mate van toegang extreem beperkt moeten zijn of zelf account inactief zetten totdat toegang nodig is en dan weer automatisch inactief na X dagen (of uren). Extra stap nodig als verbinding nodig is maar dat is het imo waard. En als leveranciers vaak zelfstandig toegang nodig hebben ook voor hen 2FA gebruiken
mac1987
@Tonkie196715 juni 2022 21:43
Toch is dat niet juist. Bij mijn werkgever leveren we support door de klant eerst zelf in te laten loggen en via een beveiligde remote desktop de sessie met goedkeuring en op initiatief van de gemeente over te laten nemen. Wij hoeven dus ook de inloggegevens van de gemeente niet te kennen en willen die ook niet weten.
BeefHazard
@mac198716 juni 2022 01:07
Ik denk dat @Tonkie1967 meer doelt op Service Accounts voor leveranciers dan op accounts om assistentie mee te verlenen. Daarbij kan het voorkomen dat een leverancier een account wil zonder 2FA omdat een persoonsgebonden account niet wenselijk/mogelijk is. Goede practice is hierbij natuurlijk om dit account inactief te houden wanneer de leverancier deze niet nodig heeft. Als ze dan iets moeten doen op het netwerk, vragen ze tijdelijke activering van het account aan.
Tonkie1967
@BeefHazard20 juni 2022 17:58
Ik bedoel beside. Daarbij zou een echt service account zo Mon mogelijk access moeten hebben, maar er zijn ook zat partijen die remote it diensten bieden die wel 2fa zouden moeten hebben maar voor gemak van delen etc aan de leverancier kant het niet hebben. Veel partijen zullen eea goed implementeren, anderen niet ..
Anoniem: 486671
@Meg15 juni 2022 19:25
Daaruit bleek dat de hackers gestolen inloggegevens van de softwareleverancier gebruikten om in te breken en de ransomware te installeren.
Hier gaat de software leverancier dus in de fout. De gemeente/overheid moet hier wellicht meer op controleren.
Meg
@Anoniem: 48667115 juni 2022 19:27
Dan is het toch een fout van beide? De leverancier omdat er geen 2FA was, de gemeente/overheid door niet te controleren?
vanstra
@Meg15 juni 2022 19:32
Hoe moet een gemeente dat controleren? Zij huren juist softwareleveranciers in om hen te voorzien van dit soort expertise.
Chocoball
@vanstra15 juni 2022 19:45
De rijksoverheid waaronder gemeenten hebben hun informatiebeveiliging te toetsen aan het normenkader van de BIO (Baseline Informatiebeveiliging Overheid). Leveranciersrelaties is daar ook een onderdeel van en voor die gelden ook (niet alle) beveiligingseisen.
deadlock2k
@vanstra15 juni 2022 19:55
Ik ben ICTer bij de semi-overheid en de verantwoordelijkheid ligt bij de eigenaar van de gegevens en niet bij de eigenaar van de systemen. De gemeente dus.

Daarnaast kan jij je als privépersoon (met enkele kanttekeningen) ook niet beroepen op "wir haben es nicht gewusst", dus een organisatie die drijft op belastinggeld al helemaal niet; ze hebben daarnaast een voorbeeldfunctie.

Dat het niet opgevallen is bij de jaarlijkse accountantscontrole is al raar, dat is waar bij ons de "controle" vandaan komt. Naast natuurlijk simpelweg de interne specialisten die de vinger aan de pols houden qua wet- en regelgeving. Het is echt best wel bizar om je dit af te vragen, want je zegt namelijk "ik vind het prima dat gemeentes dingen uitbesteden en dat daarbij zúlke grote fouten gemaakt worden dat er potentieel mensenlevens in gevaar komen".
GeneralBurrito
@deadlock2k15 juni 2022 23:11
Dat het niet opgevallen is bij de jaarlijkse accountantscontrole is al raar, dat is waar bij ons de "controle" vandaan komt. Naast natuurlijk simpelweg de interne specialisten die de vinger aan de pols houden qua wet- en regelgeving.
Lang niet ieder systeen komt aan bod in dergelijke audits; is basis enkel systemen die de financiele verslaglegging of. De betrouwbaarheid daarvan raken.

Daarbij speelt ook een rol dat de diepgang van dergelijke audits erg variert, afhankelijk per kantoor en hun controleaanpak.

Eigenlijk zie je, maar dat is mijn professionele mening, dat veel gemeentes simpelweg te klein zijn om alle taken goed uit te voeren. In jouw situatie zijn er schijnbaar interne specialisten; die hebben lang niet al die kleine gemeenten.

[Reactie gewijzigd door GeneralBurrito op 15 juni 2022 23:11]

kodak
@vanstra15 juni 2022 19:43
Afgezien dat er niet staat waarvoor de leverancier precies was ingehuurd, je kan als bedrijf of andere organisatie niet zomaar verantwoordelijkheid afschuiven op een bedrijf dat onder je verantwoordelijkheid iets moet doen. Er zal dus duidelijk moeten zijn wat de regels waren. En dat is waarom de discussie begon: onduidelijkheid welke regels er waren of zijn.
FerronN
@Meg15 juni 2022 19:57
100% de fout van de gemeente. Het gaat hier om een softwareleverancier en niet een it dienstverlener die de omgeving van de gemeente beheerd. Dat er geen MFA aan stond is kwalijk, maar what about Just enough access? Blijkbaar had het account van de softwareleverancier dermate veel permissies dat het hele systeem platgelegd kon worden.
Groningerkoek
@FerronN15 juni 2022 21:46
Die 2 termen worden heel vaak (onterecht of niet) als synoniem gebruikt.
oef!
@FerronN15 juni 2022 23:03
Leveranciers hebben wel vaker root/admin wachtwoorden omdat ze (security)wijzigingen op systeemniveau maken, externe services koppelen en software installeren, zo vreemd is dat niet. Moet je het natuurlijk wel 2FA en :+
jpsch
@Meg15 juni 2022 22:13
Stond niet in het plan van eisen?
zotteke
@Meg16 juni 2022 08:19
"Dit lijkt mij ook een flinke fout van de gemeente"
100% waar

"die daardoor niet om de veiligheid van zijn inwoners geeft?"
Dat slaat helemaal nergens op. Doe niet zo huilie. Natuurlijk geeft de gemeente om de veiligheid van haar inwoners.
Ze hebben gewoon een fout gemaakt door voor dat account geen MFA af te dwingen.
dycell
@Meg16 juni 2022 15:43
maar je zou toch denken dat tweestapsverificatie in zulke gevallen (overheidsorganen) verplicht is?

Je zou het niet enkel denken maar die verplichting is er ook. Gemeenten moeten voldoen aan de BIO (Baseline informatiebeveiliging Overheid), voorheen de BIG.

Helaas zie je dat men 'zegt' daar aan te voldoen maar zoals altijd zijn er geen gevolgen als je er niet aan voldoet. Dus gewoon zeggen dat je voldoet en lekker om 4 uur naar huis!

Ik wou het voor je opzoeken maar helaas werkt de zoekfunctie van de website https://www.bio-overheid.nl
het niet... Als je 5x klikt krijg je wel een mooie error pop-up...

Echt, de overheid en IT... Ze kunnen het beter onder gehandicaptenzorg plaatsen. En dan beledig je de gehandicapten....

/Edit:
VNG heeft het wel online staan:
https://www.informatiebev...catie-2fa-voor-gemeenten/
Mooi stuk reclame erbij van Microsoft Azure.... :/
Net alsof gemeenten nog niet voldoende volledig vendor-locked in Microsoft zitten...

BIO eis 9.4.2.1:
Als vanuit een onvertrouwde zone toegang wordt verleend naar een vertrouwde zone, gebeurt dit alleen op basis van minimaal two-factor authenticatie

[Reactie gewijzigd door dycell op 16 juni 2022 15:47]

pauldaytona
15 juni 2022 19:46
Ik denk dat de software leverancier een account binnen de gemeente had om daar op hun pakket te kunnen inloggen voor support/ service. Omdat daar verschillende mensen op moesten kunnen inloggen geen 2FA. En die hebben wel te veel rechten vaak, omdat ze anders geen updates kunnen installeren.
Moraelyn
@pauldaytona15 juni 2022 20:51
Dat vind ik een slecht excuus. Je kunt voor elk individu een account aanmaken. Je kunt je werknemers prima een goedkoop mobieltje geven voor dit soort zaken. Daarnaast heb je nog zoiets als ip whitelisting, dat je alleen toegang hebt via VPN.
HKLM_
@pauldaytona15 juni 2022 22:39
Iedere fatsoenlijke password manager ondersteunt tegenwoordig 2FA tokens dus dat excuses kan de prullenbak in.
DigitalExorcist
15 juni 2022 21:07
Daarom dus altijd 2FA, zonder uitzondering….
HKLM_
@DigitalExorcist15 juni 2022 22:09
Er zijn prima uitzondering mogelijk :P maar zorg dan voor additionele security als JIT, PIM, PAM, Conditional Access, LAPS, etc en combineer dat ook nog een beetje.

[Reactie gewijzigd door HKLM_ op 15 juni 2022 22:12]

DigitalExorcist
@HKLM_15 juni 2022 22:18
Allicht, maar CA gebruik je náást 2FA om compliance af te dwingen van je devices of apps en LAPS is leuk als je zelf een domaincontroller hebt; het een sluit het ander niet uit. Je moet naast MFA natuurlijk ook je rechtenstructuur op orde hebben zodat niet iedereen bij alle data kan zodra ze kunnen inloggen..
HKLM_
@DigitalExorcist15 juni 2022 22:31
Uiteraard gebruik je het naast 2FA, maar als 2FA niet kan en helaas is die software er…. Dan kan je CA prima inzetten. Bijvoorbeeld dat je alleen vanaf een compliant device mag aanmelden bijvoorbeeld (simpel voorbeeld) En LAPS is officieel alleen voor on-prem inderdaad maar met Azure Logic Apps en Azure Key Vault + Powershell kan je het prima naar de Cloud trekken.

En je kan je webapplicatie altijd nog achter een Azure AD Application Proxy hangen zodat je eerst via Azure AD moet aanmelden voordat je bij je applicatie komt die mogelijk Basic Auth heeft. Mogelijkheden genoeg dus maar dan moet je wel een IT partij hebben die erover na wil denken.

En daarbij zou je verwachten maar schijnbaar dus niet… dat er wel een SIEM achter hangt als Sentinel etc om te monitoren… zeker als je 2FA/MFA niet volledig kan implementeren in de organisatie.

[Reactie gewijzigd door HKLM_ op 15 juni 2022 22:36]

XboxOneT
15 juni 2022 21:53
Toch wel apart dat er nog zo weinig bedrijven en instanties de aandacht hebben voor 2FA/MFA. Terwijl het vaak zo eenvoudig is. SSO is voor het bedrijfsleven een nog betere keuze m.i. Dat helpt namelijk ook de medewerker, want dat is toch vaak de zwakste schakel.
Insomnia1988
16 juni 2022 09:19
Jammer dat 2 staps uit stond, zou oprecht willen weten wat daar de reden van is.
Naar mijn mening is er geen goede reden voor echter kan ik me wel een aantal scenarios bedenken.
Sommige eindgebruikers vinden het erg lastig 2FA het is nieuw en wat nieuw is is eng.
Dan ben ik van mening dat dit de taak is aan de ICTer om uit te leggen waarom het wel nodig is.
Heb al heel wat discussie gehad, maar 2FA zet deze jongen niet uit.
Tip voor mensen die met meerdere gebruikers willen inloggen onder 1 account probeer eens Authy https://authy.com/ erg makkelijk en werkt echt super goed.
robertlinke
16 juni 2022 09:46
gaat dit puur om een leverancier of ook om beheer en dienstverlening na de leverantie.

als het alleen maar om de leverantie ging hoorde ze zulke accounts niet eens te hebben.
en ik kan nergens vinden dat ze een beheers of ondersteunings contract/SLA hadden met de gemeente.
Veggiewalker
16 juni 2022 10:59
Naast toegang moet ook nagedacht worden over welke onderdelen en data je dan toegang voor nodig hebt. Ongewenst dat alles ter beschikking is.
The_BoKmeester
15 juni 2022 19:36
"Om welke softwareleverancier het gaat, zegt de gemeente niet"

Heeft iemand hier meer info over? Zo kunnen we eventuele opvolging, sancties tegen en andere projecten van deze softwareleverancier in de gaten houden.

Zal wel Centric zijn :D Die kunnen geen schade gebruiken op dit moment. :p

[Reactie gewijzigd door The_BoKmeester op 15 juni 2022 19:36]

mac1987
@The_BoKmeester15 juni 2022 21:48
Paspoorten en dergelijke vallen volgens mij onder Burgerzaken. De gemeente Buren gebruikt volgens mij iBurgerzaken, hetgeen een product is van PinkRoccade Local Government.
Centric ligt gigantisch onder een vergrootglas en heeft recent nog de benodigde (o.a. ISO) certificeringen behaald en is in het kader van een grote aanbesteding nog extra doorgelicht met goed gevolg.
Overigens kan het ook zijn dat ze support kregen op bijv. database beheer of werkplekbeheer en op die manier het lek is ontstaan. Het hoeft niet per definitie de applicatie zelf te zijn.

[Reactie gewijzigd door mac1987 op 15 juni 2022 21:59]

OxWax
@The_BoKmeester15 juni 2022 20:15
*gewist omdat er geen zekerheid bestaat dat dit bedrijf de oorzaak was* (ik heb hen trouwens gemaild)

[Reactie gewijzigd door OxWax op 16 juni 2022 11:29]

mphilipp
@OxWax16 juni 2022 08:14
Ik zou dit bericht wissen als ik jou was. Tenzij je denkt dat een gemeente slechts één softwareleverancier/dienstverlener heeft, is het niet zeker dat het dit bedrijf betreft. Dit is een beetje nivo Yvonne Coldeweijer.
OxWax
@mphilipp16 juni 2022 11:30
U hebt gelijk, gewist! (heb hen gisteren ook gemaild)
gise
@OxWax16 juni 2022 00:48
Gevaarlijke post, zonder de details uit eerste hand kan niet zomaar de conclusie getrokken worden dat het deze partij is. De gemeente kan ook verschillende onderdelen en software/diensten afnemen bij verschillende leveranciers.
Bijvoorbeeld; werkplek / support / serverbeheer/ netwerkbeheer / (hosted/SaaS/managed) applicaties / etc.
Rabb
@OxWax16 juni 2022 11:19
Gaan we nou op Tweakers bedrijven doxxen zonder zeker te weten of dat zij er überhaupt iets mee te maken hebben?
The_BoKmeester
@OxWax15 juni 2022 20:24
De 170 medewerkers van de gemeente Buren willen burgers en bedrijven elke dag de beste dienstverlening bieden. Om dat waar te maken, wil de Betuwse gemeente dichtbij de ruim 26.000 inwoners staan. Dat vraagt om digitale hulpmiddelen waarmee medewerkers makkelijker naar buiten gaan en locatieonafhankelijk kunnen werken. Om het project Digitaal Werken te ondersteunen, leverde IT-partner OnnIT de gemeente 170 HP EliteBook x360 laptops, inclusief een zorgeloze installatie en uitrol.

Ze leveren ook software.
https://onnit.nl/onnit-ve...-buren-met-hp-elitebooks/
Dank voor de info! De installatie en uitrol zullen vast prima gegaan zijn. :D
jpsch
@The_BoKmeester15 juni 2022 22:15
Dank voor de info! De installatie en uitrol zullen vast prima gegaan zijn. :D

Zal wel akkoord op gegeven zijn.
The_BoKmeester
@jpsch15 juni 2022 22:18
Ja, logisch. Install en uitrol gingen prima cq. zorgeloos. De ellende kwam pas later :D
Tonkie1967
@The_BoKmeester15 juni 2022 20:37
Zal wel Centric zijn :D Die kunnen geen schade gebruiken op dit moment. :p
Kan uiteraard nooit Centric zijn: die hebben de beste security expert ter wereld als adviseur van de eigenaar aan hun kant staan 😜😜

[Reactie gewijzigd door Tonkie1967 op 15 juni 2022 20:38]

DigitalExorcist
@Tonkie196715 juni 2022 21:07
Iets met blockchain en Iraanse codes?
osmosis
@DigitalExorcist15 juni 2022 22:10
*Smart blockchain hè
DigitalExorcist
@osmosis15 juni 2022 22:19
Ah ja, daar heb ik laatst een boek over gelezen, van Willem Vermeend geloof ik 😜
knights16
15 juni 2022 20:00
@auteur: Je schrijft ransomware en geen ransomeware.
AuteurLFranxWind
@knights1615 juni 2022 20:04
Bedankt voor het aangeven. De foutjes zijn gecorrigeerd :)

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee