Gemeenten laten wachtwoorden Raad van State uitlekken

Een groot aantal gemeenten heeft op het internet logingegevens voor een extranet van de Raad van State gepubliceerd. Via dat extranet kunnen documenten naar de Raad worden gestuurd. Volgens de RvS zelf is de kans op misbruik 'klein'.

Via zoekmachines kunnen eenvoudig logingegevens voor een extranet van de Raad van State worden gevonden, schrijft Webwereld. De gegevens staan in brieven die door de Raad van State worden verstuurd en die door tientallen overheidsorganen, vrijwel allemaal gemeenten, per abuis op internet zijn gepubliceerd. Met in ieder geval één gepubliceerde gebruikersnaam en wachtwoord kon worden ingelogd.

Het extranet wordt gebruikt om documenten naar de Raad van State te sturen. "Gemeenten kunnen bijvoorbeeld bestemmingsplannen en beroepsschriften uploaden", zegt Wendy van der Sluijs, woordvoerster van de Raad van State. "Dat een aantal gemeenten de logingegevens op internet heeft gepubliceerd, is niet zo handig", aldus Van der Sluijs.

Volgens Webwereld zouden kwaadwillenden met de logingegevens lopende zaken bij de Raad van State kunnen beïnvloeden door zelf documenten te uploaden. De kans op misbruik is echter klein, denkt de woordvoerster. "Het wachtwoord is op zichzelf niet genoeg om documenten te uploaden. Er is ook nog een sleutel nodig", aldus Van der Sluijs. "Het is zeer onwaarschijnlijk dat iemand over beide beschikt." Van der Sluijs weet niet of de wachtwoorden die zijn gepubliceerd, worden ingetrokken.

Update, 15:20: Woordvoerster Asha Khoenkhoen van de Vereniging Nederlandse Gemeenten zegt niet te weten hoeveel gemeenten de logingegevens hebben gelekt. Khoenkhoen is bovendien benieuwd hoe de procedure voor het openbaarmaken van documenten er precies uitziet. "Aan de ene kant moeten gemeenten bepaalde informatie openbaar maken, aan de andere kant wil je dit soort informatie niet openbaar", zegt ze, waarmee ze suggereert dat gemeenten mogelijk door een procedure onbedoeld worden verplicht dit soort gegevens te openbaren.

Door Joost Schellevis

Redacteur

Feedback • 14-10-2011 14:5125

14-10-2011 • 14:51

25 Linkedin

Lees meer

Cheaptickets.nl laat klantgegevens uitlekken - update Nieuws van 24 oktober 2011
VNG dwingt nog geen beveiligingsrichtlijnen voor gemeentesites af Nieuws van 10 oktober 2011
Vijftig gemeentesites blijken nauwelijks beveiligd Nieuws van 8 oktober 2011
Hilversum mag voorlopig eigen kabeltarieven hanteren Nieuws van 7 oktober 2011
Italiaanse Wikipedia offline uit protest tegen 'censuurwet' Nieuws van 5 oktober 2011
Diverse gaten ontdekt in website gemeente Amsterdam - update Nieuws van 20 september 2011
Google gaat niet in beroep en zal ssid-gegevens vernietigen Nieuws van 13 september 2011
Internetbedrijven vechten Franse dataretentieregels aan Nieuws van 6 april 2011
Meer producten en artikelen
Politiek en recht Privacy Websites en communities Internet Beveiliging Overheid

Reacties (25)

-Moderatie-faq
25
24
12
0
0
2
Wijzig sortering
Anoniem: 320277
14 oktober 2011 14:55
Van Webwereld:
"Bestuursrecht is langzaam en zaken duren maanden of soms jaren. Door de blunder is het daardoor eenvoudig om een zaak te beïnvloeden. Mensen kunnen zelfs processtukken aan de kant van hun tegenstander toevoegen."

Er kunnen dus rechtszaken worden beïnvloed door deze knullige fout van de gemeenten. Tijd dat de VNG en de minister dus gaan ingrijpen. Het is al de zoveelste ICT blunder bij de overheid in korte tijd.
Unipuma
@Anoniem: 32027714 oktober 2011 14:57
Klinkt als een klusje voor de 'ICT Brandweer' :)
Jester-NL
@Unipuma14 oktober 2011 15:15
En welk brandje gaan die blussen?
Het lekken door het plaatsen van UID en Password op gemeentelijke sites, of het feit dat het extranet van de RvS nu dus lek is?

Het punt is dat er (weer) op een knullige manier met inloggegevens wordt omgegaan... en daar moet niet de brandweer op af, maar brandpreventie.
Carino
@Jester-NL14 oktober 2011 15:17
hoe denk je dat zo'n lek 'geblust' moet worden.... wat dacht je van de wachtwoorden opnieuw genereren? soms is iets makkelijker op te lossen dan je doet voorkomen.

komt nog eens bij: het extranet van de RvS is niet lek... dit is een gebruikersfout en niet een technische fout... ook wel een PEBCAC genoemd...

[Reactie gewijzigd door Carino op 14 oktober 2011 15:20]

Jester-NL
@Carino14 oktober 2011 17:30
Lees even goed ;)

Ik snap best wel dat de boel niet lek is...
Ik zou het alleen niet een gebruikersfout willen noemen als het
"door tientallen overheidsorganen, vrijwel allemaal gemeenten, per abuis op internet (is) gepubliceerd"
Ergens gaat er hier iets structureel fout. Daar heeft de SP die ICT-brandweer voor bedacht. Mijn vraag is (gebaseerd op TWEE nieuwsberichten van vandaag) wat die brandweer dan moet gaan oplossen.

[Reactie gewijzigd door Jester-NL op 14 oktober 2011 17:30]

Carino
@Jester-NL15 oktober 2011 10:20
Indien het inderdaad het geval is dat meerdere gemeenten het document online geplaatst hebben dan kan er inderdaad iets structureel fout gaan. Echter, gemeenten gebruiken vaak stagieres om documenten te digitaliseren. Niet dat daar iets mis mee is, maar ik kan me voorstellen dat die wellicht wat slordig omgegaan is met deze documenten.

Wellicht dat er niet in de brief stond "dit document dient niet openbaar gemaakt te worden", maar dat is toch een gevalletje common sense?

Ik kan me ook niet voorstellen dat er in het document staat: dit document bevat uw inlog gegevens voor het extranet van de Raad van State, deel dit aub met alle inwoners van uw gemeente. Het lijkt dus wel degelijk een gebruikersfout.

De opmerking over de 'ICT brandweer' van daarboven was waarschijnlijk sarcastisch bedoeld, die zou in dit soort gevallen niks kunnen doen. Wellicht is een 'ICT knokploeg' een beter idee... Wanneer gemeenten dan weer zoiets stoms als dit doen dan kunnen ze langs gaan met een grote paarse dildo (inderdaad... ik kan niet wachten op Saints Row: The Third, maar dat terzijde) om ze daar flink mee om de oren te slaan... :+
RagingR2
@Anoniem: 32027714 oktober 2011 15:04
Er kunnen dus rechtszaken worden beïnvloed door deze knullige fout van de gemeenten.
In theorie wel ja, doordat je stukken kan uploaden. In de praktijk zal het moeilijk worden, want het is niet alsof niemand het door heeft als er ineens stukken bij staan die er niet thuis horen; en ik neem aan dat de betreffende gemeentes dat "as we speak" aan het controleren zijn.
Swedish Clown
14 oktober 2011 14:54
De kans op misbruik is klein, maar je maakt die kans met een dergelijke blunder in ieder geval niet kleiner... :| 8)7
mjl
@Swedish Clown14 oktober 2011 15:51
En simpel op te lossen, verplichten bij de eerste login het password te veranderen en dat dan voordat je je document met login publiek maakt ;)

Hangt natuurlijk wel een postit met het wachtwoord bij de betreffende ambtenaar, lekker makkelijk voor z'n collega's....
j-phone
14 oktober 2011 14:56
Die laatste zin is een uiting van maximale luiheid. Als de bekend geworden wachtwoorden niet worden verandert, wat voor nut heeft een wachtwoord dan uberhaupt nog in deze context?
Anoniem: 182467
14 oktober 2011 14:57
En als de kans op misbruik klein is waarom zit er überhaupt een username en wachtwoord aan verbonden?

Beetje onzin reactie van de raad van state dus...
TimmieN
14 oktober 2011 17:57
Dit is nog wel het allerschokkendste:
...
Van der Sluijs weet niet of de wachtwoorden die zijn gepubliceerd, worden ingetrokken.
...
Hoezo twijfel je daar nog aan?
Pingelmonster
14 oktober 2011 15:17
Gemeente Someren (NB) heeft dus gelekt...
Mythman
@Pingelmonster14 oktober 2011 15:46
Wel meer gemeentes Linkie

edit: als je de file:pdf weghaalt zijn er nog meer (wel in pdf... gekke google) link2

[Reactie gewijzigd door Mythman op 14 oktober 2011 15:54]

joeriz9
14 oktober 2011 14:54
waar slaat dit op? toch niet normaal om hier zo mee om te gaan..
petervdveen
14 oktober 2011 14:57
Kan ik hier ook plannen invoeren en goedkeuren om een snelweg van mijn huis naar mijn werk aan te leggen? :P
RagingR2
@petervdveen14 oktober 2011 15:01
Ten eerste: nee, en ten tweede, goedkeuren sowieso niet. Dus het valt allemaal wel mee. De ICT bij de overheid komt wel weer vaak in het nieuws zo, maar zoals meestal is het een beetje een storm in een glas water...

De Raad van State maakt geen plannen; de RvS toets alleen maar plannen op het moment dat iemand tot op het hoogste orgaan, de Raad van State dus, doorprocedeert.

[Reactie gewijzigd door RagingR2 op 14 oktober 2011 15:02]

Gunner
14 oktober 2011 15:07
Laten we de ICT Brandweer hierop afsturen!
arthur-m
14 oktober 2011 16:22
Net ff gedaan. Werkt op zich maar heel veel kan ik er niet mee (als niet-hacker zijnde)
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee