Een ransomwaregroep die vorige maand wist in te breken op servers van it-bedrijf ID-ware heeft daarbij ook privégegevens van duizenden rijksambtenaren buitgemaakt en inmiddels online gezet, waaronder ook Tweede Kamerleden. Eind september en vorige week verschenen op Twitter berichten dat de ALPHV-ransomwaregroep had ingebroken op systemen van ID-ware. Het bedrijf levert toegangssystemen aan bedrijven en overheden, inclusief de Eerste en Tweede Kamer. Het gaat om de Rijkspas, die leden van de Eerste en Tweede Kamer, de staf van die organisaties, en rijksambtenaren toegang verschaft tot de Kamergebouwen en rijkspanden.
Dat laat staatssecretaris Van Huffelen vandaag in een brief aan de Tweede Kamer weten. Op 21 september meldde ID-ware de servers waren getroffen door een ransomware-aanval waarbij bestanden werden versleuteld. ID-ware stelt dat de systemen snel via een back-up hersteld konden worden, maar dat er ook een grote hoeveelheid data is gestolen en gepubliceerd.
Uit onderzoek blijkt dat de databaseservers die gebruikt worden bij de uitgifte van passen niet zijn getroffen door de aanval. Of er gegevens van Rijkspasgebruikers staan op de fileservers die wel geraakt zijn wordt onderzocht. Tot nu toe is bekend dat van bijna 3500 medewerkers van de Rijksoverheid naam, rijkspasnummer en paraaf is gelekt vanuit de thuisbezorgservice van de kaart.
"De persoonsgegevens die aanwezig zijn bij het bedrijf beperken zich tot de voor productie van de kaart noodzakelijke gegevens: naam, geboortedatum, geslacht, rijkspasnummer en pasfoto. Voor de meeste pasgebruikers zal dit, als toch blijkt dat deze gelekt zijn, een beperkte impact hebben, waarbij met name aan het risico van gebruik bij phishing moet worden gedacht. Niettemin betreur ik dit incident zeer, evenals de mogelijke gevolgen voor betrokken personen", aldus Van Huffelen.
Als reactie op de aanval hebben de Eerste Kamer en Tweede Kamer ook de netwerkverbindingen met ID-ware verbroken. De staatssecretaris merkt op dat met de gelekte informatie geen pas worden kan worden gemaakt die toegang tot gebouwen geeft, het hiervoor benodigde sleutelmateriaal wordt niet verwerkt bij ID-ware. De interne systemen van Rijkspasbeheer, Eerste Kamer en Tweede Kamer zijn door de aanval op ID-ware niet geraakt.
De personen van wie is vastgesteld dat er gegevens zijn gelekt zijn persoonlijk geïnformeerd of worden binnenkort ingelicht. ID-ware levert soortgelijke toegangssystemen ook aan andere klanten in Nederland en Duitsland en heeft hen eveneens op de hoogte gesteld. Ook is een melding gedaan bij Autoriteit Persoonsgegevens en heeft het bedrijf aangifte gedaan bij de politie.
Deze posting is gelocked. Reageren is niet meer mogelijk.