De Britse gemeente Gloucester heeft een boete van omgerekend ruim 110.000 euro gekregen wegens een datalek waarbij gevoelige e-mails werden gestolen. Een aanvaller wist in 2014 via een kwetsbaarheid in de webserver van de gemeente meer dan 30.000 e-mails van de gemeente te downloaden.

Het ging om berichten met financiële en gevoelige informatie van gemeentemedewerkers. De aanvaller maakte gebruik van de Heartbleed-kwetsbaarheid in OpenSSL om de e-mails te stelen. Ondanks allerlei openbare waarschuwingen werd de kwetsbaarheid niet tijdig door de gemeente opgelost, waardoor persoonlijke informatie risico liep en de databeschermingswetgeving werd overtreden, zo stelt de Britse databeschermingsautoriteit ICO, die de boete oplegde.

"Dit was een serieuze misser van het stadsbestuur. De aanval vond plaats toen de organisatie hun it-systemen aan het outsourcen was. Een gebrek aan toezicht bij het outsourcen, alsmede inadequate beveiligingsmaatregelen voor gevoelige e-mails, maakte ze kwetsbaar voor een aanval", zegt Sally Anne Poole van de ICO. Onderzoek van de autoriteit wees uit dat de gemeente niet voldoende processen had ingericht om ervoor te zorgen dat de systemen up-to-date waren toen het van leverancier wisselde. Een andere Britse gemeente kreeg onlangs een boete van omgerekend 172.000 euro wegens een datalek opgelegd.