De SIMgroep geef toch een heel ander beeld hier over op hun site:
http://www.simgroep.nl/internet/simblog_41677/item/so-what-happened-hackmeplease-jasper-kooiman_8623.html
Hier onder volledig artikel
We waren nog niet eens begonnen of een onschuldige surface pc die toevallig in de buurt stond was slachtoffer geworden, waarna alle zich op het open wifi verbonden apparaten even werden bekeken. Een muisje inprikken en het adminwachtwoord raden bleek hiervoor voldoende. Enfin, beetje warmgedraaid kon deze hackdag van start en alle 'bezoekers' hebben direct bluetooth en wifi op hun devices uitgezet.
Zo'n beetje alles is geraakt zaterdag:
Slecht beveiligde devices werden fysiek gehackt, waardoor de hackers opeens meer iPads hadden in de kamer dan ze hadden meegenomen (en de infobalie wat minder dan daarvoor);
Afgesloten gebieden in het stadhuis bleken niet afgesloten, en opeens stond een drietal met allerlei tools het fysieke deurslot van de wethouderskamer aan te vallen;
De netwerkprinters in het stadhuis werden niet ontzien, maar hierbij was er wat pech omdat de meeste vanwege gebrek aan werkenden uitstonden;
De met swipe-kaarten 'beveiligde' sliding doors kregen opeens allemaal anonymous post-its. (...) Aan de binnenkant van de deur;
Er zijn omgevingen gevonden met oude apache-software met gaten, en zelfs een 6 jaar oude ubuntu-server;
Een hostname injection (yes, that's us: in piwik) gevonden;
3 cross-side scripting mogelijkheden gevonden;
Een berg metadata opgehaald (ongeveer 1,8 miljoen records, maar volgens Plasterk niet door onszelf verzameld) en weergegeven (met allerlei useraccounts van medewerkers van de gemeente);
Webaccess van een mailserver (eerst ontkend, toen 'spontaan' niet meer aanwezig, daarna ridderlijk erkend);
Een fileserver met onbeveiligd accountbeheer, waardoor allerlei bruteforce mogelijkheden aanwezig waren (zeker met de usernames uit de metadata hierboven);
En een hele hoop verbetersuggesties omtrent slechte certificaten;
Foutinformatie en versie-informatie die onterecht wordt teruggegeven, en een van de leveranciers had een php info-pagina publiekelijk toegankelijk staan.
En uiteraard van die grappige momenten, dat een van de hackers komt aanzetten met een ip-nummer en wat gegevens daarop, vervolgens een van de I&A mensen gaat rondrennen om te achterhalen wat daar draait en na verloop van tijd terugkomt met de mededeling: "ik heb het gevonden!", waarop de hacker droogjes "ik ook" antwoordt.
Maar het belangrijkste was, denk ik, het enthousiasme en de sfeer waarin het gebeurde. Knie aan knie met de hackers om beter te begrijpen wat er gebeurt, en samen te bedenken hoe het beter kan. Ik zag leveranciers hackers helpen om een stapje verder te komen, nieuwsgierig om te zien waar de volgende stap zat.
Frank de Goede heeft zich hierna nog goed gemengd in het debat met o.m. Brenno de Winter en Astrid Oosenburg, aansluitend op het feestje over cloud, veiligheid, wetgeving en certificering. Indrukwekkend daarin de overpeinzing wat nou eigenlijk de waarde is van een DigiD audit-handtekening in oktober, als we in december nieuwe software toevoegen, die misschien niet die handtekening in twijfel trekt, maar wel de veiligheid. Zijn we dan met die handtekening een achterhaalde werkelijkheid aan het verantwoorden en dus meer de veiligheid van vorig jaar aan het beoordelen in plaats van de veiligheid van nu?
Al met al een zeer geslaagde en leerzame dag voor de gemeente maar ook voor SIMgroep.