Gemeente Asten slachtoffer van 'digitale inbraak'

De gemeente Asten heeft een 'digitale inbraak' gemeld waarbij onbevoegden toegang hebben gehad tot 23.000 persoonlijke gegevens. Het is niet zeker of er daadwerkelijk persoonsgegevens van inwoners van de Noord-Brabantse gemeente zijn buitgemaakt; dat wordt nog onderzocht.

De inbraak vond ergens eind vorig jaar plaats en intussen heeft de gemeente naar eigen zeggen het gegevenslek gemeld bij de Autoriteit Persoonsgegevens en is er aangifte gedaan bij de politie. Voor zover bekend zijn er geen daders op het oog. Het is niet duidelijk of er sprake is van een ransomwareaanval of andere vormen van afpersing.

De Noord-Brabantse gemeente merkte in eerste instantie een poging tot factuurfraude op en huurde daarom een gespecialiseerd bureau in, waarna de daadwerkelijke digitale inbraak opgemerkt werd. Onbevoegden konden via twee mailboxen bij gevoelige gegevens zoals burgerservice- en bankrekeningnummers, namen en adressen, telefoonnummers en kopieën van rijbewijzen, identiteitskaarten en paspoorten.

De gemeente raadt inwoners aan om alert te blijven wanneer ze 'een telefoontje, post of een mail van de gemeente, uw bank of van andere instanties' ontvangen. Bij het vermoeden van misbruik van persoonsgegevens raadt de gemeente Asten aan om dit via het telefoonnummer 0493-671246 te melden.

Reacties (72)

Fuwor 22 mei 2023 15:45

23.000 persoonlijke gegevens... In twee mailboxen!
Waarom staan zaken als burgerservicenr's, kopieën van rijbewijzen, identiteitskaarten en paspoorten in hemelsnaam (überhaupt en al helemaal in deze getale) in een mailbox...

[Reactie gewijzigd door Fuwor op 25 juli 2024 02:07]

Verwijderd @Fuwor • 22 mei 2023 16:46

Zou me weinig verbazen als er een formuliertje of meerdere formuliertjes zijn voor het uploaden van dit soort documenten om een ticket te openen, die vervolgens allemaal in een mailbox terechtkomen om uitgezocht te worden door een kamertje studenten of andere medewerkers die de hele dag alleen maar verzoekjes knallen. Heb dit vaak genoeg gezien bij customer support-afdelingen, iedereen ingelogd of geautoriseerd op cs-nederland@bedrijf.com. Die mailtjes worden natuurlijk ook nooit opgeruimd.

R.Adema @Verwijderd • 22 mei 2023 21:56

De ironie van de situatie: wij doen het omgekeerde met onze Support; alles strak beveiligd; géén mails maar alles via autoriseerbare dossiers. Meest gehoorde mopper:
"Kan ik het niet ff mailen naar een algemeen adres ofzo." en wij maar braaf uitleggen dat dat een vreselijk slecht idee is.

En dan heb ik het over zaken als: bankgegevens; BSN-achtige dingen of letterlijk wachtwoorden tot hun eigen mailservers...

De meeste organisaties en personen(overheid of zakelijk) geven geen bal om fatsoenlijk omgaan met gegevens tótdat ze gelekt zijn... het is echt om te huilen soms.

The Zep Man

Beveiliging en antivirus
Privacy
Nederland

@R.Adema • 23 mei 2023 06:13

De ironie van de situatie: wij doen het omgekeerde met onze Support; alles strak beveiligd; géén mails maar alles via autoriseerbare dossiers. Meest gehoorde mopper:
"Kan ik het niet ff mailen naar een algemeen adres ofzo." en wij maar braaf uitleggen dat dat een vreselijk slecht idee is.

Volgens mij is het alleen een vreselijk slecht idee als je er verkeerd mee omgaat.

"Onze mailbox accepteert alleen S/MIME of GPG-versleutelde berichten. Mails worden automatisch verwijderd uit de mailbox nadat ze zijn verwerkt. Als deze voorwaarden niet acceptabel zijn voor jou, dan gebruik je het andere traject."

En dan heb ik het over zaken als: bankgegevens; BSN-achtige dingen of letterlijk wachtwoorden tot hun eigen mailservers...

Waarom verwerken jullie BSN's? Ik zou dat (geautomatiseerd) weigeren als dat vaak aangeboden zou worden en er geen juridische reden is om het te verwerken. Daar wil je je vingers niet aan branden.

De meeste organisaties en personen(overheid of zakelijk) geven geen bal om fatsoenlijk omgaan met gegevens tótdat ze gelekt zijn... het is echt om te huilen soms.

Het is niet om te huilen. Het is om je eigen processen op orde te hebben wanneer anderen dat niet hebben.

[Reactie gewijzigd door The Zep Man op 25 juli 2024 02:07]

terror538 @The Zep Man • 23 mei 2023 07:55

[...]
"Onze mailbox accepteert alleen S/MIME of GPG-versleutelde berichten.

Veel succes om dat uit te leggen aan je gebruikers. Dat is veel te hoog gegrepen voor pak em beet 95% van de Nederlandse internet gebruikers.

3 grote nadelen die imho overblijven als je zaken als retentie e.d. goed geregeld hebt is dat je bij een gedeelde mailbox geen authorisatie hebt over wie waar toegang toe heeft. Iedereen die in die mailbox mag kan bij alles in de box, ook als ze het niet op dat moment nodig hebben.
Daarnaast is access logging, wie heeft waaraan gezeten, lastiger (niet onmogelijk) te implementeren.
En zo'n gedeelde inbox nodigt ook gewoon uit om even te kijken wat er in de andere tickets gebeurt, dus het nodigt ook niet het juiste gedrag uit.
Dat zijn overigens allemaal dingen waar je als kleine organisatie prima mee om kan gaan, een kleine ISP waar het hele team in dezelfde ruimte zit ofzo.
Maar zodra je groter wordt wil je dat wél goed geregeld kunnen hebben.

The Zep Man

Beveiliging en antivirus
Privacy
Nederland

@terror538 • 23 mei 2023 08:29

[...]

Veel succes om dat uit te leggen aan je gebruikers. Dat is veel te hoog gegrepen voor pak em beet 95% van de Nederlandse internet gebruikers.

En daarom schreef ik ook het deel dat je niet citeert:

Als deze voorwaarden niet acceptabel zijn voor jou, dan gebruik je het andere traject

3 grote nadelen die imho overblijven als je zaken als retentie e.d. goed geregeld hebt is dat je bij een gedeelde mailbox geen authorisatie hebt over wie waar toegang toe heeft. Iedereen die in die mailbox mag kan bij alles in de box, ook als ze het niet op dat moment nodig hebben.

Ik schreef ook:

Mails worden automatisch verwijderd uit de mailbox nadat ze zijn verwerkt.

Je kan gewoon mails in een functionele mailbox automatisch verwerken en ervoor zorgen dat niet iedereen toegang tot alles heeft. Zo heb je geen gedeelde mailbox nodig.

R.Adema @The Zep Man • 23 mei 2023 11:49

Niet me je oneens voor het overgrote deel! Belangrijke nuance: We verwerken géén BSN's; dat is juist het punt: mensen sturen ze op zonder dat wij ze willen hebben...

Mijn punt was niet om het ene systeem boven het andere te plaatsen maar meer te illustreren dat er een enorme roekeloosheid zit bij veel mensen(en dus de bedrijven waar ze werken in veel gevallen) rondom hoe er omgegaan moet worden met toegang, privacy en alle daaraan rakende zaken.

[Reactie gewijzigd door R.Adema op 25 juli 2024 02:07]

The Zep Man

Beveiliging en antivirus
Privacy
Nederland

@R.Adema • 23 mei 2023 11:54

Niet me je oneens voor het overgrote deel! Belangrijke nuance: We verwerken géén BSN's; dat is juist het punt: mensen sturen ze op zonder dat wij ze willen hebben...

Als je ze ontvangt verwerk je ze, volgens de definitie van verwerken. Hoe je ermee omgaat maakt het verschil tussen alles in het redelijke doen om ongewenste verwerking tot een minimum te houden, en illegale verwerking. Ongewenste verwerking kan geminimaliseerd worden door inkomende gegevens met BSN's automatidch te weigeren, en automatisch een bericht (zonder de BSN's...) terug te sturen met de reden waarom de gegevend geweigerd zijn.

R.Adema @The Zep Man • 23 mei 2023 11:59

Tsja; je hebt verwerken en verwerken...
Helaas heb je hetzelfde probleem als de gemeente Asten al aangaf: veel van de gegevens zijn indirect toegevoegd of niet als zodanig gelabeld(platte tekst).

Verwijderd @R.Adema • 23 mei 2023 19:50

Mogelijk een tip, je kan DLP uitvoeren op inkomende en uitgaande email.
Als er bijvoorbeeld persoonsgegevens opgestuurd worden, dan zal de email simpelweg geweigerd worden.

Het werkt uiteraard niet 100% perfect maar kan wel een start zijn voor je probleem en onderstreept zeker dat moeite hebt gedaan om de gegevens te mijden. Bij een incident zal dat zeker in acht worden gehouden.

morphje @R.Adema • 23 mei 2023 19:23

Nog een belangrijkere nuance. Als jij privacy gevoelige gegevens ontvangt waar jij geen recht op hebt, dan is er sprake van een datalek. Jij als ontvanger hebt op dat moment een meldplicht bij de eigenaar van deze gegevens. In dit geval het bedrijf in kwestie.

Ja dat klinkt misschien bot, maar als bedrijven niet herhaaldelijk op dit soort datalekken wordt gewezen, dan zullen de medewerkers nooit veranderen. Naming and shaming is werkelijk een van de weinige effectieve methoden bij herhaling.

Viper1995 @Fuwor • 22 mei 2023 15:48

Wat ik me afvraag of het zo is dat de gegevens in de mailbox staat of dat ze via de twee mailboxen met een SSO achtige constructie (denk aan O365 waarin je SSO zo kan inrichten) bij een ander systeem konden komen. Het is mij niet helemaal duidelijk uit de tekst of de gegevens in de mailbox stonden

SinergyX @Viper1995 • 22 mei 2023 16:12

Het was de mailbox zelf:

bedrijven en medewerkers van wie vertrouwelijke gegevens in de mailboxen aanwezig zijn,

Viper1995 @SinergyX • 22 mei 2023 16:13

Ah ik had de link niet geopend (my bad), maar als je dit zo in je mailbox hebt staan moet je even goed bij jezelf gaan nadenken denk ik los van of je ontwikkelaar bent of niet.

cool0 @Fuwor • 22 mei 2023 16:37

Idioot inderdaad! Maar dit gaat bij zoveel bedrijven mis. Afgelopen weken ook van verschillende bedrijven mails gehad met daarna een excuus mail ja iemand had toegang en ze doen het daarmee af. Dan mail je terug en vraag je na als er een melding is gedaan bij de AP dan blijft het stil. Ben hier zo klaar mee dat ik zelf de meldingen tegenwoordig aan het doen ben. Bij veel bedrijven betaal jezelf blauw aan van alles en ze willen ALLES van je weten maar beschermen van de data doen ze niet.

Verwijderd @Fuwor • 22 mei 2023 19:55

23.000 persoonlijke gegevens... In twee mailboxen!
Het staat er een beetje dubbel, mogelijk daarom de verwarring:
Uit een eerste onderzoek blijkt dat er toegang is geweest tot ongeveer 23.000 bestanden en andere gegevens. (Zie de bron)

Ik wil het niet goedpraten ofzo maar 'toegang' tot 23.000 bestanden is ook weer niet heel ongewoon voor twee medewerkers. Daarnaast zou het natuurlijk kunnen dat er een gedeelde mailbox tussen zat (bijvoorbeeld info@). Gedeelde mailboxen bevatten vaak gevoelige data gezien mensen van alles zomaar doorsturen. Daar heb je als ontvanger geen controle op. Zo te zien zitten de meeste gevoelige gegevens ook in de bijlagen:
We hebben nog niet exact kunnen achterhalen welke gegevens zijn aangetroffen, het onderzoek loopt nog. Veel gegevens zijn op een eerste blik gefragmenteerd in documenten aanwezig.

Waarom staan zaken als burgerservicenr's, kopieën van rijbewijzen, identiteitskaarten en paspoorten in hemelsnaam (überhaupt en al helemaal in deze getale) in een mailbox...
Zoals ik al aangaf kan extern je van alles gestuurd worden. Dat zou je natuurlijk direct moeten verwijderen (doe ik ook geregeld) maar ambtenaren zijn erg 'gevoelig' over een 'prullenbak beleid' waar deze automatisch geleegd wordt. Mogelijk heeft dat ook een rol gespeeld (ik zie soms mailboxen waar de prullenbak de helft van de mailbox grote is). Intern wordt e-mail ook vaak als een veilig medium gezien om gevoelige informatie uit te wisselen. Medewerkers binnen iedere organisatie wisselen onderling zeer regelmatig gevoelige informatie en gaan er van uit dat niemand buiten de organisatie daar ooit bij zou kunnen. Daar geef ik mensen ook geen onterecht in maar dat bewustzijn wordt bijna nooit besproken.

arbraxas @Fuwor • 22 mei 2023 18:49

Omdat je doodleuk word gevraagd om even je ID te scannen en te mailen.
De ABN bv vroeg me dat ook. Toen ik daar bezwaar tegen maakte kreeg ik doodleuk te horen van de dame aan de andere kant van de lijn "dat ze daar geen probleem in zag"

Dan krijg je dus mailboxen vol met dit soort info. Ik heb het niet gedaan, maar ik denk dat ik daarin helaas een uitzondering ben.

[Reactie gewijzigd door arbraxas op 25 juli 2024 02:07]

TechSupreme @arbraxas • 23 mei 2023 02:06

Alle aanvragen van de ABN gaan al jaren via de app en die schermt direct alle onnodige informatie af (pasfoto, BSN, etc.) Als een medewerker van de ABN jou vraagt om een ID door te mailen dan zou ik daar inderdaad vraagtekens bij zetten.

arbraxas @TechSupreme • 23 mei 2023 08:26

Was geen aanvraag, maar die periodieke check op ID. Via de app geprobeerd ging niet. Afspraak bij filliaal werd gewoonweg bot geweigerd en tot slot dus een medewerkster die vond dat het allemaal niet zo`n probleem is.

Al die datalekken, ik kijk er niet van op.

TechSupreme @arbraxas • 23 mei 2023 09:20

Dat doet de ABN niet, enige wat ze doen is in de app aangeven dat je jaarijks je NAW gegevens moet controlleren voor belasting doeleinden. Een ID laten uploaden doen ze niet aangezien die krengen 5 tot 10 jaar geldig zijn.

Ik kan je ook melden dat die werkneemster niet zomaar een ID kan invoeren in het systeem aangezien dat alles geautomatiseerd is.

[Reactie gewijzigd door TechSupreme op 25 juli 2024 02:07]

arbraxas @TechSupreme • 23 mei 2023 12:29

Ah, daarom is uiteindelijk ook mijn rekening en verzekering opgezegd. Met op de valreep nog de uitspraak waarom ik dan niet gewoon naar het filiaal ging

Heb hier een beste stapel correspondentie liggen met de ABN over dit voorval. Het was dus ook geen geval van phishing/oplichting.

https://www.kifid.nl/kifi...-is-in-strijd-met-de-avg/
Lees die maar s door, mijn geval was eind 2021, dus net voor deze uitspraak.

Maar ik snap wel hoe je dan mailboxen vol met identiteit bewijzen krijgt.

[Reactie gewijzigd door arbraxas op 25 juli 2024 02:07]

Z100 @Fuwor • 22 mei 2023 17:11

Het is de overheid maat. Vooral lokale gemeenten zijn echt erg. Het begint al dat zij doorgaans niet kunnen, noch willen inzien dat er ooit een probleem zich kan voordoen, en dat je zaken goed moet plannen en toepassen om dit soort shit te voorkomen. Maar gemeenten geloven niet in voorkomen. Is gewoon de natuur van het beestje. 'Je hoeft je koers niet te controleren noch te veranderen totdat je een ijsberg raakt.'

Gemeenten horen IT zaken helemaal niet mogen te bepalen. Beleidsvoering kan en mag uitsluitend van de centrale overheid komen.

ollie1965 @Z100 • 22 mei 2023 23:46

Gemeenten horen IT zaken helemaal niet mogen te bepalen. Beleidsvoering kan en mag uitsluitend van de centrale overheid komen.

Gemeenten bepalen heel veel dingen ook niet. Zij voeren voor +95% Rijksoverheid taken uit (wetgeving), daarbij zijn zij gehouden aan de uitvoeringswetten. Verder kun je nog dingen als AVG, BIO (afgeleide van de ISO 27001, ..2), forum standaardisatie enz enz enz. Opzoeken en je zult zien dat het pallet van wetten en maatregelen genoeg is, de vraag blijft hier “waren ze voldoende toegepast voor het BBN niveau, de kans op en het risico “

beeldbuijs @ollie1965 • 23 mei 2023 10:44

Als ik even 'meta' mag gaan: De vraag dringt zich bij dit soort nieuwsberichten op, waarom de rijksoverheid gemeenten niet gewoon een kant-en-klaar systeem aanbiedt. Want nu moeten al die 340 gemeenten ieder voor zich op zoek naar een invulling van de regels. Ieder voor zicht adviezen inwinnen, hun eigen abonnementje afsluiten bij allerlei dienstverleners, mensen (laten) opleiden, methodes bewaken, etc etc.

Natuurlijk zijn er samenwerkingen en overkoepelende verenigingen voor gemeentes, maar dat dekt lang niet alles.

En niet alleen bij gemeentes. Je ziet dit overal: bij het onderwijs, zorginstellingen, politie, etc.

Je zou verwachten dat, na 30+ jaar automatisering, de overheid het voortouw pakt en niet alleen met eisen en abstracte standaarden komt, maar gewoon een concreet systeem aanbiedt met alles er op en er aan, tot en met jaarlijkse na-controle. Zou een hoop gedoe voorkomen.

ollie1965 @beeldbuijs • 23 mei 2023 11:35

Iets met machtsfactor, overheid, vrije markt enz.
Ben het met je eens maar er zijn zoveel wetten en verordeningen (EU) dat ik dat nog even niet zie gebeuren.

winux @Fuwor • 23 mei 2023 11:42

Vermoed dat dit een factuur@domein.ext of administratie@domein.ext mailboxen zijn geweest.
Waar digitale (PDF) facturen naartoe gemaild zijn. Die vervolgens al dan niet geautomatiseerd in het financiële systeem zijn ingelezen.

Wanneer deze na de import/verwerking niet verwijderd worden krijg je dit.

Vaak zie je dat dit soort mailboxen geen MFA hebben, omdat het achterliggende import systeem hier simpelweg niet mee overweg kan.

Als hier dan een simpel wachtwoord op staat, is het vrij spel om dit via de webmail omgeving te benaderen en de mailbox te extraheren met bijlagen.

[Reactie gewijzigd door winux op 25 juli 2024 02:07]

CivLord

@Fuwor • 25 mei 2023 07:01

Misschien is het een interne mailbox, die gebruikt wordt om aanvragen e.d. door te sturen naar de medewerker die deze in behandeling gaat nemen?

M3m3nt0m0r1 22 mei 2023 15:39

De gemeente Asten had in 2019 16,710 inwoners.
Je kan er dus aardig safe vanuit gaan dat iedereen gepakt is door dit lek.
Volgens Security.nl zijn twee email adressen gecompromitteerd. En uiteraard gaan ze nu pas additionele maatregelen treffen....

lenwar

Nederland
Privacy
Beveiliging en antivirus

@M3m3nt0m0r1 • 22 mei 2023 16:06

Je hebt waarschijnlijk gelijk, maar het ligt er ook een beetje aan wat het allemaal is.
Je kan natuurlijk prima 5 gegevens pp hebben en dan zijn het er 'maar' 4600.

TheVivaldi @M3m3nt0m0r1 • 22 mei 2023 17:48

17.267 in 2023 volgens het CBS, dus ietsje meer.

Tacoos 22 mei 2023 15:50

Het valt me op dat ze wel melden wanneer de feiten hebben plaatsgevonden, maar niet wanneer ze het ontdekt hebben.
Aangenomen dat ze het zo snel mogelijk hebben gemeld, zijn ze er pas net achter.
Dan hebben de criminelen die hierachter zaten al 5 maanden hun gang kunnen gaan met de gegevens van de getroffenen? Lekker dan

Verwijderd @Tacoos • 22 mei 2023 20:03

Aangenomen dat ze het zo snel mogelijk hebben gemeld, zijn ze er pas net achter.
Volgens de bron:
Eind 2022 heeft een onbevoegde toegang gehad tot privacygevoelige informatie in twee mailboxen. Dit blijkt uit onderzoek door een gespecialiseerd bureau naar aanleiding van een poging tot factuurfraude.

Ze hebben het waarschijnlijk zelf niet eens doorgehad. Er is een poging tot factuurfraude geweest waarna het 'gespecialiseerd bureau' er dus achter is gekomen. Het is verder inderdaad niet duidelijk hoelang men toegang heeft gehad of heeft behouden.

Coolstart 22 mei 2023 15:55

De Noord-Brabantse gemeente merkte in eerste instantie een poging tot factuurfraude op en huurde daarom een gespecialiseerd bureau in, waarna de daadwerkelijke digitale inbraak opgemerkt werd. Onbevoegden konden via twee mailboxen bij gevoelige gegevens zoals burgerservice- en bankrekeningnummers, namen en adressen, telefoonnummers en kopieën van rijbewijzen, identiteitskaarten en paspoorten.

Op zich goed dat ze direct een intern onderzoek gestart zijn maar het is wel erg raar dat je 'via' twee mailboxen toegang zou hebben tot alle gegevens. Ik ben ook benieuwd op welke iemand toegang kreeg tot die mailboxen.

We weten ondertussen allemaal wel dat 2FA niet opkan tegen heel gerichte aanvallen. Zodra hackers beseffen toegang hebt tot veel en waardevolle data dan gaan ze je viseren. Maar heel vaak hebben kleine gemeenten zelfs geen 2FA dus ik ben benieuwd.

Elke dag worden er kleine en grote sites gehackt. Eén van zo'n hackers sites is Lockbit. Enkel al op 22 mei zijn er 5 nieuwe gehackte websites of databases bijgekomen. Ook de bekende hack van Antwerpen stond er op maar dat hebben ze afgekocht. Ook geraardsbergen.be is gehackt geweest.

De systemen van Antwerpen zijn gehackt geweest doordat er een windgroei was aan gekoppelde systemen. De IT-dienst had al laten weten dat ze ondergefinaciert waren om al die legacy te moderniseren. De kwetsbaarheden stapelden zich op naarmate de tijd vertreek.

[Reactie gewijzigd door Coolstart op 25 juli 2024 02:07]

Verwijderd @Coolstart • 22 mei 2023 20:15

Op zich goed dat ze direct een intern onderzoek gestart zijn maar het is wel erg raar dat je 'via' twee mailboxen toegang zou hebben tot alle gegevens
Volgens de bron zat het vooral in 'bestanden' dus ik vermoed dat het om bijlagen gaat met gevoelige data. Gedeelde mailboxen kan ook nog een ding zijn geweest.

We weten ondertussen allemaal wel dat 2FA niet opkan tegen heel gerichte aanvallen.
Het is een continue balans waarbij je steeds voorop moet proberen te lopen. Ik zie het altijd als:
“You don't have to run faster than the bear to get away. You just have to run faster than the guy next to you.”
MFA voegt echt heel veel toe aan je beveiliging. Echter ook hier moet je bij blijven en alert zijn. Zo past Microsoft nu pas standaard nummer validatie toe bij MFA verzoeken. Als beheerder moet je dat dus al lang doorgevoerd hebben (simpele aanpassing). Ook denken organisaties niet goed na over sessie time-outs en reauthenticate. Een veelgebruikte methode is tegenwoordig om sessiecookies te stelen:
My Channel Was Deleted Last Night.
Microsoft biedt met Conditional Access hier ook een redelijke oplossing voor....

Mijn punt is, beveiliging werkt in lagen.. De meer lagen, de groter de kans dat schade beperkt blijft.
Continue bij blijven is daarbij ook essentieel. Niets erger dan de geur van rottende uien

Ijsklont 22 mei 2023 16:29

Volgens Security.nl hebben ze niet via de twee mailboxen toegang kunnen verschaffen, maar de tweede betreffende mailboxen zelf de gevoelige data van de burgers. Het gaat dan om naam, adres, postcode, woonplaats, burgerservicenummer, telefoonnummer, e-mailadres, bankrekeningnummer en kopie rijbewijs, identiteitskaart of paspoort.

Bron: Security.nl

[Reactie gewijzigd door Ijsklont op 25 juli 2024 02:07]

mjtdevries @Ijsklont • 22 mei 2023 17:17

Dat staat ook op de site van de gemeente zelf waar Tweakers in het artikel naar gelinked heeft.

EnigmA-X

22 mei 2023 16:10

De doodgewone burger is de klos, want als slachtoffer krijg je geen nieuwe BSN of paspoort.

Met die gegevens kan een bankrekening geopend worden. Vervolgens geld wegsluizen, rekening komt rood te staan. De bank klopt aan bij de burger, die vervolgens de vrij onmogelijke taak krijgt om te bewijzen dat het iemand anders was.

Skix_Aces @EnigmA-X • 22 mei 2023 16:41

De doodgewone burger is de klos, want als slachtoffer krijg je geen nieuwe BSN of paspoort.

Volgens de site van de gemeente asten krijg je wel een nieuw identiteitsbewijs of rijbewijs als blijkt dat deze gelekt is.

Indien blijkt dat een geldig identiteitsbewijs of rijbewijs betrokken is bij de digitale inbraak, dan kunt u een nieuwe aanvragen en zal de gemeente Asten de reguliere aanvraagkosten daarvoor vergoeden. Wij nemen contact met u op als uw identiteitsbewijs, paspoort of rijbewijs betrokken is.

https://www.asten.nl/geme...anisatie/digitale-inbraak

Lisadr @Skix_Aces • 22 mei 2023 17:03

Dit kan de gemeenten veel geld gaan kosten om alles te vervangen! Een gemeente die geen securityteam heeft en te weinig heeft geïnvesteerd in security en privacy. Heel erg vervelend voor Asten en de slachtoffers, maar hopelijk een voorbeeld voor anderen om te investeren in security en privacy. Hoewel er al veel voorbeelden zijn geweest.

Andros @Lisadr • 22 mei 2023 17:10

Dan kost het maar veel geld, leergeld heet zoiets. Het jammere aan overheden is dat die juist betaald worden van belastingen waardoor de uiteindelijke kosten toch bij de burger terecht komen. Maar als dit probleem gebeurt bij een derde partij als een bank, onderwijsinstelling, commercieel bedrijf etc zou dezelfde regel moeten gelden. Verantwoordelijke partij lekt data? Verantwoordelijke partij draait op voor de kosten, punt. De enige manier om dit soort berichtgeving in de toekomst niet meer te moeten vernemen aangezien de "kostenpost" beveiliging ineens een stuk minder erg lijkt dan eventuele gevolgen als het niet in orde is.

bvdbos @Andros • 22 mei 2023 20:56

Als de verantwoordelijke partij (ic gemeente) schadeloos moet stellen dan wordt het toch een koekje van eigen deeg? Dan moeten ze de belastingen verhogen? Of eigenlijk : dan moeten we de belastingen verhogen aangezien we als inwoners van Asten zelf beslissen (middels de gemeenteraad) waar het geld naartoe gaat...

logix147 @Skix_Aces • 22 mei 2023 20:57

https://www.digitaleoverh...0foutief%20is%20toegekend.

“Heel mooie tekst geschrijfd” vanuit de gemeente met 0 beleid op security, echter wel denkt met pasjes en afgesloten deurtjes dat alles “veilig” blijft - ik schrok me dood toen ik daar een verzoek tot consultancy kreeg voor een opdracht.

Anyway, ik acht de kans van slagen nul aangezien met de “Corona-Test” lekkage 100% zeker volledige BSNs doorgestuurd zijn omwille van fraude en die mensen hebben nog geen nieuw BSN.

Zover ik weet verstrekt alleen Min van Justitie deze in hele hoge uitzonderingen (lees kroongetuige e.d.) en heb je verder als burger “pech”.

Banken zouden ook geen financiële zaken moeten doen zonder dat iemand bijvoorbeeld via DigiD dit aanvraagt, niet 100% waterdicht maar in elk geval al beter dan via een app binnen 3 minuten een bankrekening kunnen openen of een BKR schuld (lees telefoon+abonnement aanvragen) regelen.

Er is een hoop mis met financieel Nederland - maar nieuw BSN - dit zou in de digitale wereld zonder “DigiD” niet eens belangrijk mogen zijn, er moet gewoon een soort 2FA op en DigiD is hetgeen wat daar voor nu het dichtste bij staat.

Vuurvleugelhart @Skix_Aces • 22 mei 2023 17:30

Dat is extreem balen wanneer je een ID had zonder vingerafdrukken. Lost de gemeente Asten vast netjes op...

bvdbos @Vuurvleugelhart • 22 mei 2023 18:28

Dat is ook wat ik, als inwoner van Asten dacht... Tot nu toe kunnen voorkomen dat mijn vingerafdrukken in de systemen zijn opgeslagen en volgens mij id-kaart zou ik nog een jaar vooruit moeten kunnen (kan iemand dat ff checken in die gegevens?). Maar ben bang dat ik volgend jaar toch aan de beurt ben....

TheVivaldi @Skix_Aces • 22 mei 2023 17:43

Dat is mooi, maar wat betreft de schade omdat iemand je identiteit gestolen heeft en er weet-ik-wat mee doet…?

barbarbar @EnigmA-X • 22 mei 2023 16:15

Gelukkig valt dat wel mee. Je kunt niet zomaar een bankrekening openen op iemand anders naam, ook al heb je z'n paspoort in de hand. Banken vereisen gezichtsscans, of ze komen aan de deur, of je moet je in een filiaal identificeren.

EnigmA-X

@barbarbar • 23 mei 2023 00:37

Een ideal betaling van een bestaande bank voldoet ook. Onder andere de Volksbank gebruikt dat ter verificatie.

Met alle gegevens op zak, is daar ook wel een loophole voor te vinden middels een beetje social engineering.

Kaoh

@EnigmA-X • 22 mei 2023 16:19

Volgens mij moeten banken een id check doen als iemand een nieuwe klant wordt.
Waarmee ik de rest van de risico's niet wil afzwakken.

peddler 22 mei 2023 20:10

Je email wordt als burger pas in behandeling genomen na bekend maken van emailadres of naam, adres of BSN nummer.
Waarom specifiek noemen van dit zeer gevoelig persoonsgegeven?
Je moet nooit een mailbox willen met BSN gegevens erin.

Daarnaast staat onder archivering, dat alle emails minstens 2 maanden worden bewaard en als het nodig is worden uitgeprint om te worden bijgevoegd aan het dossier.
Het lijkt er dus op dit de gemeente hier niet aan heeft voldaan. Even afwachten hoe oud de emails zijn die zijn gelekt.

Daarnaast is de hosting partij inderdaad Microsoft office 365. Dus gemiste kans om MFA niet te activeren. Weten we niet zeker van MFA natuurlijk, maar lijkt er wel op.
Ze hebben ook nog een niet toegankelijke (lokale) mail relay server in de mx staan. Waarom vraag ik me dan of nog een lokale Exchange server?

212.178.155.130
Vodafone Libertel B.V. (AS33915)
D4B29B82.static.ziggozakelijk.nl

bvdbos @peddler • 22 mei 2023 20:47

. ...BSN nummer.
Waarom specifiek noemen van dit zeer gevoelig persoonsgegeven?
Je moet nooit een mailbox willen met BSN gegevens erin.

Laat ik met raadsvragen meenemen.

Daarnaast staat onder archivering, dat alle emails minstens 2 maanden worden bewaard en als het nodig is worden uitgeprint om te worden bijgevoegd aan het dossier.
Het lijkt er dus op dit de gemeente hier niet aan heeft voldaan. Even afwachten hoe oud de emails zijn die zijn gelekt.

Er staat niet dat email niet langer dan twee maanden digitaal bewaard kan worden. Twee maanden zou ook erg kort zijn, ik heb klanten die nu nog terugkomen op mails die in 2006 verstuurd zijn...

Daarnaast is de hosting partij inderdaad Microsoft office 365. Dus gemiste kans om MFA niet te activeren. Weten we niet zeker van MFA natuurlijk, maar lijkt er wel op.

Deze vraag gaat natuurlijk mee naar de raad...

Ze hebben ook nog een niet toegankelijke (lokale) mail relay server in de mx staan. Waarom vraag ik me dan of nog een lokale Exchange server?
[...]

Lijkt mij een logische verklaring...

peddler @bvdbos • 23 mei 2023 21:39

Mooi, neem onderstaande vragen uit mijn ander bericht ook mee.
Per ongeluk reageerde ik niet op jouw bericht.

logix147 @peddler • 22 mei 2023 21:14

Je wilt niet weten hoeveel klanten “on prem” zitten om de domste redenen: “ik wil niet dat Microsoft meeleest” - NAS stuk, ja hij start niet meer op. We hebben bij grof vuil gezet. NAS uit grof vuil en op werk toch maar de disken in een andere NAS gehangen… vol met “HR” gegevens. Wel achter een ww - echter was het een synology NAS met het default admin account nog aan - dan weet iedereen hoe laat het is.

Ik kom op veel plaatsen als consultant en zie zoveel op gebied van security fout gaan - dan laat je het rapport achter met aanbevelingen en men doet er niets mee want te duur. Tot het te laat is, alle pc’s en backups vergrendeld zijn en vervolgens aankloppen of wij niet nog een geweldige oplossing hebben. Tja.. consultancy in de security tak IT - ja soms zijn dingen duur maar zelfs de kaasboer om de hoek z’n 5.000 is prima voor een hacker uit een none uitlever land voor 3 minuten “werk”.

Iets met billen en branden als je het mij vraagt. Ik heb zelf jurisdisch 0 kennis van arbeidsrecht. Ik kan mezelf verzekeren hiertegen zodat ALS het nodig is ik geholpen word. Want ja met die baan bekostig ik soort van m’n levenswijze- wat is dat je waard onder aan de streep… in m’n geval meer dan €20 p/mnd

Iksie 23 mei 2023 12:28

Ik woon in Asten, al meer dan 50 jaar al, met veel plezier trouwens. Deze lek baart me enorm veel zorgen. Ik werk zelf echter in security (niet bij onze gemeente of overheid!) en ga kijken of er iets is op het darkweb.

[Reactie gewijzigd door Iksie op 25 juli 2024 02:07]

ookhoi 22 mei 2023 15:53

De Noord-Brabantse gemeente merkte in eerste instantie een poging tot factuurfraude op en huurde daarom een gespecialiseerd bureau in, waarna de daadwerkelijke digitale inbraak opgemerkt werd.

Het verhaal lijkt tussen bron en publicatie een eigen leven te zijn gaan leiden. Bij een poging tot factuurfraude huur je geen kostbaar gespecialiseerd bureau in. De betreffende factuur krijgt een stempel, duidelijke aantekening en/of voorblad, en gaat rond onder de medewerkers ter lering en vermaak.

nsacrawler @ookhoi • 22 mei 2023 16:02

De originele bron (gemeente) zegt zelf "In eerste instantie leek het enkel een digitale inbraak te zijn met als doel factuurfraude."
Dan lijkt me die beschrijving toch vrij accuraat. Al denk ik wel dat er meer aan de hand is geweest.

lenwar

Nederland
Privacy
Beveiliging en antivirus

@ookhoi • 22 mei 2023 16:17

Bij een poging tot factuurfraude huur je geen kostbaar gespecialiseerd bureau in.

Dat ligt er aan hoe je het leest denk ik. Zolang de rechter niet heeft besloten dat het fraude was, blijft het bij een poging?
Wat natuurlijk ook kan, is dat ze naar aanleiding van die poging iets 'vreemds' hebben gezien, waardoor er een ander 'gespecialiseerd bedrijf' een onderzoek is gestart en dit heeft gevonden. Dus dat de poging alleen de trigger was tot een onderzoek.

oef! @ookhoi • 22 mei 2023 16:41

We weten niet wat de poging exact inhoudt en wie erbij betrokken waren. Als het een poging was waarbij er vanuit een gecompromitteerde mailbox een valse factuur is verstuurd dan kun je wel degelijk een gespecialiseerd bureau inhuren. Dit gebeurt in de praktijk ook.

pe0mot 22 mei 2023 15:47

Een mailbox geeft toegang?
Brrodje aap. Vermoedelijk gaat het om MS login gegevens zonder MFA.

lenwar

Nederland
Privacy
Beveiliging en antivirus

@pe0mot • 22 mei 2023 16:09

Uit de gelinkte pagina:

Wij stellen alles in het werk om inzicht te krijgen over welke gegevens het precies gaat en van wie. Inwoners, bedrijven en medewerkers van wie vertrouwelijke gegevens in de mailboxen aanwezig zijn, informeren wij persoonlijk zodra dit bekend is.

Blijkbaar stond die data dus blijkbaar daadwerkelijk in een mailbox. Ik hoop oprecht die hier ook strafbestuursrechtelijk iets mee gedaan wordt. Als dit klopt is dit is op z'n zachtst gezegd nalatig. Een mailbox is de niet de juiste plek om dit soort data te bewaren/behouden.

Edit: Foutje. Bedankt @WouterL

[Reactie gewijzigd door lenwar op 25 juli 2024 02:07]

WouterL @lenwar • 22 mei 2023 16:37

Dan bedoel je denk ik bestuursrechtelijk in de zin van handhaving

Paul @lenwar • 22 mei 2023 17:25

Als "source of truth" of als databank is email inderdaad niet geschikt, maar als uitwisselplatform wordt het zeer veel gebruikt. En dan staat het dus in je inbox of sent items...

Even los van of dat email hiervoor het juiste middel is; mailboxen opschonen doet helaas bijna niemand.

pe0mot @lenwar • 23 mei 2023 08:45

Inderdaad staat het in het artikel.
Maar….in dit vak heb ik geleerd dat dr. House vaak gelijk heeft met zijn standaard antwoord.
Als het inderdaad in een mailbox staat is een onderzoek iets van een uurtje.
De gemeente noemt 23000 bestanden. Dit ruikt naar ftp of Teams/sharepoint toegangsrechten. Ben benieuwd naar het rapport met de root cause.

lenwar

Nederland
Privacy
Beveiliging en antivirus

@pe0mot • 23 mei 2023 10:08

Als het inderdaad in een mailbox staat is een onderzoek iets van een uurtje.

Nou ja.
Dat ligt er natuurlijk net aan 'hoe' het gemailed is?
Als het allemaal 'op en neer mail' is zonder een gestructureerde methode, moet je natuurlijk wel echt ieder mailtje afgaan, welke data er in staat, enz, enz, enz.

Maar inderdaad. 23000 bestanden in een mailbox. Het kan natuurlijk wel. Dus dat ze daadwerkelijk bestanden op en neer sjouwen per e-mail, maar wat je zelf al zegt klinkt wel voordehandliggender.

We gaan het beleven

Wraldpyk @pe0mot • 22 mei 2023 16:02

Kan meerdere dingen betekenen.

- SSO middels een mail account
- Password reset, als je toegang hebt tot email dan kun je ook wachtwoorden resetten
- Hergebruik van email/wachtwoord combi en MFA via de email (zwak, maar gebeurd vaak).

De verwoording is wellicht niet helemaal juist, maar het is zeker niet gelijk broodje aap.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (72)

Sorteer op:

Weergave: