Gemeente Ede waarschuwt burgers na hack van website
De gemeente Ede heeft burgers gewaarschuwd dat hun persoonsgegevens bij een hack van de website ede.nl mogelijk zijn gestolen. Bij de aanval op de gemeentesite heeft de aanvaller mogelijk toegang tot een database met namen, adresgegevens, e-mailadressen, telefoonnummers, burgerservicenummers (BSN) en bankrekeningnummers van burgers gekregen. Of de gegevens ook daadwerkelijk zijn gestolen is onduidelijk.
De gemeente heeft een gespecialiseerd bureau de hack laten onderzoeken. Dit bedrijf heeft geen aanwijzingen kunnen vinden dat de database op de website is geraadpleegd of de inhoud ervan is gestolen. Het bureau kan dit echter ook niet voor 100% uitsluiten, aldus de gemeente. De mogelijke gehackte gegevens waren in de periode van 7 januari 2015 tot en met 8 juli 2016 ingevuld op het voormalig algemene contactformulier op ede.nl. Van zo’n 3.700 burgers zijn de gegevens mogelijk ingezien of meegenomen. Een klein gedeelte had ook het BSN of bankrekeningnummer ingevuld.
Na ontdekking van de hack zijn er verschillende maatregelen genomen. Zo zijn bestanden verwijderd, is de database leeggemaakt en zijn er diverse veiligheidsmaatregelen getroffen. Om wat maatregelen het precies gaat laat de gemeente niet weten. Ook wordt de volledige inhoud van het onderzoeksrapport niet naar buiten gebracht. "De informatie in het rapport is hiervoor niet geschikt. Het rapport voldoet aan de uitzonderingsregels van artikel 10 Wet openbaarheid van bestuur", zo stelt de gemeente.
In een verklaring over de aanval laat de gemeente verder het volgende weten: "De website is gehackt door zoekresultaten te manipuleren en zo Google-data te beïnvloeden. Het doel hiervan is het doorsturen van mensen naar externe advertentiewebsites over afvallen en het lenen van geld. Dit in plaats van het doorsturen van mensen naar de plek op de Ede-website waar informatie staat waarnaar ze op zoek zijn." Waarschijnlijk bedoelt de gemeente dat de aanvallers nadat ze de website hadden gehackt de pagina's hebben aangepast, om zo van de indexering door Google gebruik te maken.
Reacties (19)
Gemeenten moeten eens beginnen met het idee om zo min mogelijk gegevens te vragen. Voorbeeld: als ik in mijn gemeente een losse stoeptegel wil melden, dan moet ik mijn NAW gegevens invullen. Waarom? Bepaalt dat in hoeverre die tegel los ligt? Lijkt me niet. En om BSN gegevens vragen lijkt me helemaal uit den boze. Volgens mij gebeurt dit alleen omdat men in een ver verleden ooit het lumineuze idee heeft gehad om het BSN te kiezen als primary key in databases, ipv daar een speciale GUID voor te gebruiken.
Vette pech, de gemeente Ede was juist zo goed bezig te besparen op ict door over te gaan op open source:
http://www.binnenlandsbestuur.nl/digitaal/nieuws/fors-lagere-ict-uitgaven-in-ede-door-open-source.9197047.lynkx
http://www.binnenlandsbestuur.nl/digitaal/nieuws/fors-lagere-ict-uitgaven-in-ede-door-open-source.9197047.lynkx
Goed dat ze je waarschuwen, dan weet je als iemand van je gegevens misbruikt heeft gemaakt je er niets aan
kan doen, ook al stellen ze je hier wel voor verandwoordelijk.
Alles digitaal maar hoeveel mensen weten wat dat inhoudt.
kan doen, ook al stellen ze je hier wel voor verandwoordelijk.
Alles digitaal maar hoeveel mensen weten wat dat inhoudt.
"Bij de aanval op de gemeentesite heeft de aanvaller mogelijk toegang tot een database met namen, adresgegevens, e-mailadressen, telefoonnummers, burgerservicenummers (BSN) en bankrekeningnummers van burgers gekregen. "
Waarom staan deze gegevens ueberhaupt op een internet web server?
Een enorme designfaal. Ik neem aan dat Ede het niet zelf ontwikkeld heeft, en dat waarschijnlijk meerdere gemeenten de gegevens van burgers riskeren.
Waarom staan deze gegevens ueberhaupt op een internet web server?
Een enorme designfaal. Ik neem aan dat Ede het niet zelf ontwikkeld heeft, en dat waarschijnlijk meerdere gemeenten de gegevens van burgers riskeren.
10-08-2016, 14:08 door
Hans van Eijsden
Verbaast me niets eerlijk gezegd.
Alleen al het webgedeelte:
- Servertje draait Apache ipv NGINX en nog stokoud ook
- Een oude PHP-versie
- Geen IPv6-toegankelijkheid
- Niet beveiligd met DNSSEC en (dus) ook geen DANE
- HTTP-compressie staat nog aan (BEAST-attack)
- Geen OCSP-stapling
- Geen HSTS-preloading
- Geen HPKP
- Sommige certificaten (Thawte) zijn ondertekend met een hash-methode die niet veilig is (SHA1)
- CMS Typo3 trekt diverse geautomatiseerde scanbots aan
Wat betreft mail is alles ook bijzonder triest:
- Ook niet via IPv6 bereikbaar
- Geen DNSSEC en (dus) ook geen DANE
- Geen DMARC-policy
- Geen SPF-policy
Ik houd m'n hart vast..
Alleen al het webgedeelte:
- Servertje draait Apache ipv NGINX en nog stokoud ook
- Een oude PHP-versie
- Geen IPv6-toegankelijkheid
- Niet beveiligd met DNSSEC en (dus) ook geen DANE
- HTTP-compressie staat nog aan (BEAST-attack)
- Geen OCSP-stapling
- Geen HSTS-preloading
- Geen HPKP
- Sommige certificaten (Thawte) zijn ondertekend met een hash-methode die niet veilig is (SHA1)
- CMS Typo3 trekt diverse geautomatiseerde scanbots aan
Wat betreft mail is alles ook bijzonder triest:
- Ook niet via IPv6 bereikbaar
- Geen DNSSEC en (dus) ook geen DANE
- Geen DMARC-policy
- Geen SPF-policy
Ik houd m'n hart vast..
10-08-2016, 14:11 door
[Account Verwijderd]
[Verwijderd]
Door Hans van Eijsden: Verbaast me niets eerlijk gezegd.
Wat je daar noemt is toch voor het grootste deel helemaal niet relevant!
Waar het om gaat is dat er toegang verkregen is tot het systeem, en dat er kennelijk een database
met burgergegevens op de webserver staat.
Dat er toegang verkregen is dat heeft niks met het al of niet gebruiken van deugdelijke encryptie naar
de buitenwereld te maken, en ook niet met IPv6. Het enige waar dat waarschijnlijk aan ligt is het
gebruik van een (PHP) CMS.
Waar het gebruik van een PHP CMS tegenwoordig common practice is (hoe triest dat ook is), is het
plaatsen van een database met burgergegevens op een webserver van een andere orde.
10-08-2016, 14:51 door
Hans van Eijsden
Door Anoniem:
Wat je daar noemt is toch voor het grootste deel helemaal niet relevant!
Waar het om gaat is dat er toegang verkregen is tot het systeem, en dat er kennelijk een database
met burgergegevens op de webserver staat.
Dat er toegang verkregen is dat heeft niks met het al of niet gebruiken van deugdelijke encryptie naar
de buitenwereld te maken, en ook niet met IPv6. Het enige waar dat waarschijnlijk aan ligt is het
gebruik van een (PHP) CMS.
Waar het gebruik van een PHP CMS tegenwoordig common practice is (hoe triest dat ook is), is het
plaatsen van een database met burgergegevens op een webserver van een andere orde.
Door Hans van Eijsden: Verbaast me niets eerlijk gezegd.
Wat je daar noemt is toch voor het grootste deel helemaal niet relevant!
Waar het om gaat is dat er toegang verkregen is tot het systeem, en dat er kennelijk een database
met burgergegevens op de webserver staat.
Dat er toegang verkregen is dat heeft niks met het al of niet gebruiken van deugdelijke encryptie naar
de buitenwereld te maken, en ook niet met IPv6. Het enige waar dat waarschijnlijk aan ligt is het
gebruik van een (PHP) CMS.
Waar het gebruik van een PHP CMS tegenwoordig common practice is (hoe triest dat ook is), is het
plaatsen van een database met burgergegevens op een webserver van een andere orde.
Waar het mij om gaat, is dat er qua hosting geen gebruik wordt gemaakt van de beschikbare moderne technieken, terwijl veel burgers er afhankelijk van (kunnen) zijn, zeker in geval van berichtgeving bij calamiteiten. Dit verbaast mij dus, omdat dit wel een belangrijke website betreft. Vandaar dat ik mijn verbazing onderbouwd heb met bovenstaande feiten, aangevende dat het mij dus ook niet verbaast dat er onder de motorkap meer aan de hand is (geweest).
Door Taxus:nog een vraagje: moet dit niet gemeld worden bij de Autoriteit persoonsgegevens? op de site lees ik daar nix over.
Ik weet niet waar jij gekeken hebt....
maar in het nieuwsbericht op de site van gemeente Ede staat tochn echt het volgende:
[...] Het college van B en W heeft uit zorgvuldigheidsoverwegingen besloten de in het bestand opgenomen burgers op woensdag 10 augustus persoonlijk te informeren over de digitale inbraak. Daarnaast is de Autoriteit Persoonsgegevens is op de hoogte gesteld en zijn technische maatregelen genomen om herhaling te voorkomen. [...]
10-08-2016, 18:23 door
Rolfwil
... Ja en daarom hou ik altijd m'n hart vast als er gegevens bij Overheidsdiensten beheerd worden.
Chargerend gezegd ben ik er van overtuigd dat de beste ICT'ers niet in dienst zijn bij overheidsinstellingen, gewoonweg omdat in het bedrijfsleven de beloningen veel hoger liggen, plus dat de vraag naar security engineers enorm is.
Chargerend gezegd ben ik er van overtuigd dat de beste ICT'ers niet in dienst zijn bij overheidsinstellingen, gewoonweg omdat in het bedrijfsleven de beloningen veel hoger liggen, plus dat de vraag naar security engineers enorm is.
10-08-2016, 18:34 door
karma4
Door Anoniem: Vette pech, de gemeente Ede was juist zo goed bezig te besparen op ict door over te gaan op open source:
Vette pech? Het argument geldbesparing was doorslaggevend . Ze hadden vendorlockin management niet op orde. Waarom zouden ze dan degelijk beheer met bijbehorende security wel op orde hebben. Die zaken kosten geld, zijn niet gratis maar gewoonlijk niet zichtbaar. Ideaal om op te bezuinigen.Tja pas als het mis gaat, dan pas ...
Door karma4:
Tja pas als het mis gaat, dan pas ...
Door Anoniem: Vette pech, de gemeente Ede was juist zo goed bezig te besparen op ict door over te gaan op open source:
Vette pech? Het argument geldbesparing was doorslaggevend . Ze hadden vendorlockin management niet op orde. Waarom zouden ze dan degelijk beheer met bijbehorende security wel op orde hebben. Die zaken kosten geld, zijn niet gratis maar gewoonlijk niet zichtbaar. Ideaal om op te bezuinigen.Tja pas als het mis gaat, dan pas ...
Ja en tegelijkertijd moet het allemaal van gemeenschapsgelden betaald worden. En als een oevrheidsorganisatie dan weer eens wel op orde heeft (en dus geld uitgegeven heeft) dan vallen zowel de politiek als hobby WOBers over hen heen. Want die willen dat geld wel aan andere hooby's besteden.
Catch-22.
Er zijn wel goede ICTers bij de overheid maar die krijgen niet altijd hun zin omdat er managers en directies boven zitten die er geen geld voor over hebben of met politici opgezadeld zitten die er nog minder van begrijpen (laat staan geld voor over hebben tot het te laat is).
10-08-2016, 19:07 door
[Account Verwijderd]
-
Bijgewerkt: 10-08-2016, 19:08
[Verwijderd]
Overheid die blundert met ICT dat zie je gelukkig niet zo vaak en ja dat was sarcasme aka BAZINGAAAAAAAAAA
website van Ede is slecht schoon gemaakt.
Ik zou van de gemeente Ede willen weten waarom de maatregelen die ze nu zeggen te hebben genomen het risico voor de burgers van Ede hebben weggenomen, zonder dat ze eerst nog een keer goed naar de zoekresultaten gaan kijken.
Daarna het onderstaande vertellen en laat ze het dan nog maar een keer uitleggen waarom de maatregelen die ze hebben genomen de risico's voor de burgers van Ede voldoende zijn. En waarom hebben ze alleen een paar technische maatregelen genomen volgens hun mededeling? Als je website gedurende maanden besmet is kunnen raken dan is dat vaak geen 0-day maar een toonbeeld van onvoldoende controle en onvoldoende patch management. Maar daar hoeft kennelijk niets aan te gebeuren volgens de verantwoordelijke wethouder?
Met een zoekopdracht op ede.nl kom je nog steeds zoekresultaat tegen die geinjecteerd zijn: "cash", "sex", "online", "advance", "tax" etc.
De links uit de resultaten werken niet meer maar er staat dus nog steeds (of alweer) troep op de website van Ede. Er kan dan niet uitgesloten worden dat de troep die er nog op staat geen kwaad kan.
Ede laat in het officiele bericht weten " Zo zijn bestanden verwijderd, is de database leeggemaakt en ", maar dat lijkt amateuristisch te zijn gedaan. Het lijken oude zoekresultaten omdat de verwijzingen niet meer kloppen. Dan heeft iemand heel amateuristisch schoongemaakt. Zijn niet alle bestanden weggehaald, is de database niet helemaal leeg gemaakt, is er een besmette database teruggezet.
Ik zou van de gemeente Ede willen weten waarom de maatregelen die ze nu zeggen te hebben genomen het risico voor de burgers van Ede hebben weggenomen, zonder dat ze eerst nog een keer goed naar de zoekresultaten gaan kijken.
Daarna het onderstaande vertellen en laat ze het dan nog maar een keer uitleggen waarom de maatregelen die ze hebben genomen de risico's voor de burgers van Ede voldoende zijn. En waarom hebben ze alleen een paar technische maatregelen genomen volgens hun mededeling? Als je website gedurende maanden besmet is kunnen raken dan is dat vaak geen 0-day maar een toonbeeld van onvoldoende controle en onvoldoende patch management. Maar daar hoeft kennelijk niets aan te gebeuren volgens de verantwoordelijke wethouder?
Met een zoekopdracht op ede.nl kom je nog steeds zoekresultaat tegen die geinjecteerd zijn: "cash", "sex", "online", "advance", "tax" etc.
De links uit de resultaten werken niet meer maar er staat dus nog steeds (of alweer) troep op de website van Ede. Er kan dan niet uitgesloten worden dat de troep die er nog op staat geen kwaad kan.
Ede laat in het officiele bericht weten " Zo zijn bestanden verwijderd, is de database leeggemaakt en ", maar dat lijkt amateuristisch te zijn gedaan. Het lijken oude zoekresultaten omdat de verwijzingen niet meer kloppen. Dan heeft iemand heel amateuristisch schoongemaakt. Zijn niet alle bestanden weggehaald, is de database niet helemaal leeg gemaakt, is er een besmette database teruggezet.
Door Anoniem: Overheid die blundert met ICT dat zie je gelukkig niet zo vaak en ja dat was sarcasme aka BAZINGAAAAAAAAAA
Klopt,
er werkt helemaal NIKS aan ICT bij de overheid, alles gaat nog op papier, bruggen worden met de hand open en dicht gedraaid, om over de sluizen en de luchthavens maar niet te spreken.
Er is geen gemeente die zonder stempels kan en bij elke school worden uitsluitend de krijtborden gebruikt.
Defensie is helemaal een drama, die doen alles zelfs nog op kleitabletten.
En dit was natuurlijk geen sarcasme. Ben wel blij dat ik niet zo n raar toetsenbord heb als jij trouwens.
Door Ralphwil: ... Ja en daarom hou ik altijd m'n hart vast als er gegevens bij Overheidsdiensten beheerd worden.
Chargerend gezegd ben ik er van overtuigd dat de beste ICT'ers niet in dienst zijn bij overheidsinstellingen, gewoonweg omdat in het bedrijfsleven de beloningen veel hoger liggen, plus dat de vraag naar security engineers enorm is.
Ja dat zeg je nu omdat je zo graag tegen de overheid aan trapt, maar als die website met zijn mooie open sourceChargerend gezegd ben ik er van overtuigd dat de beste ICT'ers niet in dienst zijn bij overheidsinstellingen, gewoonweg omdat in het bedrijfsleven de beloningen veel hoger liggen, plus dat de vraag naar security engineers enorm is.
PHP CMSje (fijn tegen Microsoft aantrappen) bij een bedrijf gedraaid had dan was ie ook gehacked hoor.
Daar kijken die hackers niet eens naar.
Door Ralphwil: ... Ja en daarom hou ik altijd m'n hart vast als er gegevens bij Overheidsdiensten beheerd worden.
Chargerend gezegd ben ik er van overtuigd dat de beste ICT'ers niet in dienst zijn bij overheidsinstellingen, gewoonweg omdat in het bedrijfsleven de beloningen veel hoger liggen, plus dat de vraag naar security engineers enorm is.
Je stelling raakt kant nog wal. De hoogte van een beloning zegt niets over de kwaliteit van het personeel. En als de vraag hoog is zorgt dat eerder voor lagere kwaliteit. Een goede security engineer worden kost jaren, maar plotseling kan dan iedereen als security engineer aangenomen worden met een paar jaartjes ervaring als ontwikkelaar, ICT consultant functie of een master opleiding van een jaartje. En dan heb je al snel experts niet weten wat netcat is, wat l0pht was en hebben geen enkele praktijkervaring of reputatie maar noemen zich wel expert.Chargerend gezegd ben ik er van overtuigd dat de beste ICT'ers niet in dienst zijn bij overheidsinstellingen, gewoonweg omdat in het bedrijfsleven de beloningen veel hoger liggen, plus dat de vraag naar security engineers enorm is.
Hoeveel bedrijven zijn er in NL? Ongeveer 1,5 miljoen. Ik durf te stellen dat bij 90% daarvan geen mensen in vaste dienst zijn die security expert zijn op gebied van ICT. Gewoon omdat het geen kerntaak is en om de winst te maximaliseren door te focussen op kernzaken. En als die bedrijven of eenmanszaken al personeel of diensten inkopen om de ICT af te dekken zal een groot deel van die dienstverleners geen experts bieden of de hoofdprijs vragen. 99% van de websites die worden gecompromiteerd/defaced zijn van dat soort bedrijven. Maar meestal weten dat soort bedrijven het niet omdat ze niet snappen hoe ze met ICT moeten omgaan, of ze zeggen het niet omdat ze bang zijn voor reputatieschade. Mede daarom is de meldplicht ontstaan.
Ik vind de reactie van de gemeente Ede tamelijk laconiek want mogelijke identiteitsfraude is een ernstige zaak. In de nieuws rubriek van de gemeente website staat er niet eens iets over de aanval.
Is het bekend of er nog een onderzoek komt of de persoonsgegevens wel adequaat waren beschermd tegen zulke aanvallen? En worden er verder ook maatregelen door de gemeente genomen om dit in de toekomst zoveel mogelijk te voorkomen?
Ook vind ik dat er wel een openbaar rapport moet komen over deze gebeurtenis voor de getroffenen in Ede, ongeacht of mensen nou slachtoffer worden van identiteitsfraude, etc.
Is het bekend of er nog een onderzoek komt of de persoonsgegevens wel adequaat waren beschermd tegen zulke aanvallen? En worden er verder ook maatregelen door de gemeente genomen om dit in de toekomst zoveel mogelijk te voorkomen?
Ook vind ik dat er wel een openbaar rapport moet komen over deze gebeurtenis voor de getroffenen in Ede, ongeacht of mensen nou slachtoffer worden van identiteitsfraude, etc.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
