Website van het RIVM is weer grotendeels online na hack

De website van het Nederlandse Rijksinstituut voor Volksgezondheid en Milieu is weer online. De overheidsorganisatie haalde dinsdagochtend zijn website offline na een hack via het webformulier. Volgens het RIVM hadden de hackers geen toegang tot data.

Het RIVM schrijft dat de website weer 'helemaal toegankelijk' is en dat de kwetsbaarheid is verholpen. De webformulieren, die de kwetsbaarheid bevatten waardoor de aanvallers toegang konden krijgen tot de systemen, werken nog niet volledig. Dit wordt volgens de organisatie 'zo snel mogelijk' verholpen. Het is niet bekend welke plug-in de kwetsbaarheid bevatte.

Op de website van het RIVM verschenen verschillende artikelen met medische desinformatie. Door de betrouwbaarheid van het domein van het RIVM kwamen deze pagina's hoog in de resultaten van zoekmachines. De overheidsorganisatie verzekert dat alle artikelen en filmpjes met desinformatie zijn verwijderd.

Door Imre Himmelbauer

Redacteur

Feedback • 14-10-2025 16:50
21 • submitter: CLB

14-10-2025 • 16:50

21

Submitter: CLB

Lees meer

Aanvallers sturen valse supporttickets vanaf e-mailadressen Discord en Tinder
Aanvallers sturen valse supporttickets vanaf e-mailadressen Discord en Tinder Nieuws van 18 oktober 2025
RIVM haalt website offline na hack via webformulier - update
RIVM haalt website offline na hack via webformulier - update Nieuws van 14 oktober 2025
Fix 7-Zip dicht gaten die aanvallers malware op afstand lieten uitvoeren
Fix 7-Zip dicht gaten die aanvallers malware op afstand lieten uitvoeren Nieuws van 13 oktober 2025
Nederlandse rijksorganisaties slachtoffer van hack via Citrix-lek
Nederlandse rijksorganisaties slachtoffer van hack via Citrix-lek Nieuws van 22 september 2025
Meer producten en artikelen
Websites en community's Politiek en recht RIVM Security

Reacties (21)

-Moderatie-faq
21
18
10
0
0
5
Wijzig sortering

Sorteer op:

Weergave:
-Colossalman- 14 oktober 2025 18:32
Er is ook weer wat voor te zeggen dat ze zo snel weer in de lucht zijn. Er zijn dus scenarios beschikbaar om een dergelijke aanval op te lossen. Geloof mij er zijn genoeg organisaties die met hun handen in het haar staan en geen idee wat ze moeten doen! Dus los van het probleem is dit wel snel weer opgelost.
Soldaatje @-Colossalman-14 oktober 2025 19:13
Fijn dat het zo snel is opgelost inderdaad. Het is ook een 'digid'-website, dat zal ook wel meespelen hoe snel gereageerd moet worden.
Coy @Soldaatje15 oktober 2025 10:51
Het hoofddomein en website waar het afaik om gaat/ging (rivm.nl) heeft geen DigiD aansluiting, of in elk geval niet voor een willekeurige internet gebruiker. Om die reden heeft DigiD weinig te maken met dat ze dit op moeten lossen, al moeten ze mogelijk wel uit kunnen leggen ten behoeve van het beveiligen van hun organisatie als geheel (wél een DigiD-eis) hoe dit heeft kunnen gebeuren en hoe ze dit opgelost hebben.
kwaakvaak_v2 14 oktober 2025 17:05
RIVM site is een Drupal site, als het een uitgebreid form was is de kans vrij groot dat het de Webform module is. Nu is die best veilig, vanuitgaande dat de RIVM site in ieder geval Drupal 10 of hoger is.


Maar als je zo eens door de site klikt zie je ook formulieren die uit een custom module lijken te komen en dan is de kans groter dat het lek daar zat.

Hoe dan ook, ik hoop dat het RIVM of hun leverancier zo aardig is om een Post Mortem te maken over deze hack.
SHartwijk @kwaakvaak_v215 oktober 2025 10:00
Drupal 7 (ontdekt via de whatruns chrome extension)

en PHP versie 7.1.8

edit: php versie toegevoegd

[Reactie gewijzigd door SHartwijk op 15 oktober 2025 10:02]

kwaakvaak_v2 @SHartwijk15 oktober 2025 11:53
Ik zou eigenlijk verbaast moeten zijn.. Maar ik had al zo'n donkerbruin vermoeden dat dit het geval zou zijn.

Nu is er een extended support versie van Drupal 7, alleen die is betaald. En vrees dat onze overheid dat pad niet heeft gekozen. De Drupal lobby voor betaalde extended support is helaas minder goed dan die van Microsoft. Die laatste verdiend denk ik best lekker met extended support voor oude windows versies.
downtime @Mellow Jack14 oktober 2025 17:41
Misschien hebben ze de boel gewoon goed ingericht. Problemen? Even server weggooien en via automatisch proces weer deployen met een schone installatie. Dan nog even de inhoud van de site opnieuw deployen vanuit het CMS. Kan allemaal in een halfuurtje geregeld zijn als de site niet al te groot is.
Ed Vertijsment @downtime14 oktober 2025 22:21
Dan heb je hetzelfde lek toch nog steeds?
downtime @Ed Vertijsment14 oktober 2025 22:54
Nee. Kun je aanpassen zodat dat component niet meer uitgerold wordt. Dat fix je dan later wel weer. Dat is het mooie van moderne tools.
Ed Vertijsment @downtime15 oktober 2025 07:33
Ik ken de tools, alleen benoemde je geen change in de applicatie, en een veel gemaakte fout is om te redeployen zonder fix voor het oorspronkelijke probleem.
watercoolertje @Mellow Jack14 oktober 2025 17:11
Haha wat een fail.
Wat een fail van jou om meteen fail te gaan roepen :)

Als je gewoon leest hebben ze het betreffende formulier (of inputveld) uitgezet, iets je in 2 tellen kan doen, waarschijnlijk zat de meeste tijd in het nalopen van de content (en terugzetten van backup data zonder de desinformatie)...
Iets zo snel fixen geeft mij het gevoel van onkunde.
Het is niet gefixed, het betreffende formulier (of inputveld) is uitgezet of aangepast zodat het, staat toch in het artikel?!

[Reactie gewijzigd door watercoolertje op 14 oktober 2025 17:14]

Rickardur @watercoolertje14 oktober 2025 18:54
Het is al tijden dat het kan met overheid sites, dat deze manier nog niet is dichtgetimmerd, geeft wel een faalpuntje aan.


Ik weet nog dat je met het duo formulier (om meer informatie te verkrijgen) hetzelfde kon doen, en de hele site plat leggen, hier was zelfs toen een klasgenoot van mij die op tv kwam het te laten zien (RTL 4).


Dit zegt meer dat hij wel gelijk heeft, wat een faal dat dit nog steeds problematisch is bij de overheid
Sanderluc @Rickardur15 oktober 2025 07:01
Je kon jaren terug op de KVK-website “X-Forwarded-For” spoofen en zo de proxy-servers zelf laten blokkeren… Hierdoor kreeg iedereen tijdelijk een 403 forbidden te zien. Ik heb dit destijds laten melden gezien er zo ook andere beveiligingsmaatregelen mee konden worden omzeild.

[Reactie gewijzigd door Sanderluc op 15 oktober 2025 07:20]

Lagonas @Mellow Jack14 oktober 2025 18:02
En al deze gevoelens haal je uit 1 enkel nieuws artikel? Dat is erg snel geconcludeerd.
Cartman! @Mellow Jack14 oktober 2025 19:18
Het is nogal suf dat een formulier het toe staat om bestanden te uploaden die daarna vervolgens publiek bereikbaar zijn natuurlijk. Hoe jij daar uithaalt dat management updates niet belangrijk vind mis ik even.
R_Zwart @Mellow Jack14 oktober 2025 20:26
Doe wat goeds voor het vaderland en ga de overheid helpen om dit allemaal perfect in te regelen. Als jij aan het stuur zit wordt het de best IT omgeving in het land.
Rickardur @R_Zwart14 oktober 2025 20:56
Doe maar niet, weer een persoon die belachelijk hoge prijzen vraagt voor een service die een normaal persoon ook kan.


Heb liever dat mijn belasting centen wat beter worden besteed (maar dat is iets wat van alle tijden is)
pbk @Terry A Davis15 oktober 2025 09:14
Je bedoelt de site die direct de waarschuwing toont dat de informatie niet up-to-date is? 8)7
Because of a lapse in government funding, the information on this website may not be up to date, transactions submitted via the website may not be processed, and the agency may not be able to respond to inquiries until appropriations are enacted.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq