Gemeente Velsen lekte e-mailadressen van honderden inwoners
De gemeente Velsen heeft van honderden inwoners de e-mailadressen gelekt, alsmede mogelijk andere persoonlijke informatie, doordat een medewerker in een phishingmail trapte. Dat meldt de IJmuider Courant. Eind september ontving de gemeente een e-mail van van een bekende organisatie. Deze organisatie was echter gecompromitteerd en de verstuurde e-mail was in werkelijkheid een phishingmail.
"Omdat we de organisatie vertrouwden, merkten we niet dat de e-mail nep was. Hierdoor zijn onze inloggegevens gestolen. Dit heet phishing. Hackers konden hierdoor een interne mailbox van de gemeente Velsen bekijken", aldus een e-mail van de gemeente. Uit onderzoek blijkt dat de aanvallers 48 uur toegang hadden tot de mailbox. Daarvan werd er vijf uur actief gebruik van gemaakt.
Vermoedelijk zijn bij de aanval alle e-mailadressen uit de mailbox gestolen. Van sommige inwoners gaat het ook om telefoonnummers. Het datalek deed zich op 24 september voor en is meteen gemeld bij de Autoriteit Persoonsgegevens. Gedupeerden ontvingen echter pas 21 oktober een melding van de gemeente. Tijdens het Actualiteitenuurtje in de gemeenteraad werd de phishingaanval ook besproken. Volgens wethouder Diepstraten ging het om een 'heel geavanceerde phishingmail' waarbij interne e-mailadressen en e-mailadressen van 'enkele inwoners' zijn gestolen.
Kan zijn dat de mail geavanceerd was, meer waarschijnlijk is dat de wethouder een digibeet is.
(in de zin zoals dat woord gebruikt wordt, niet wat het betekent)
Waarom vertrouwen we ze nog met gegevens!? Haal alles er gewoon weg. Ze kunnen er blijkbaar niet mee omgaan.
Waarom vertrouwen we ze nog met gegevens!? Haal alles er gewoon weg. Ze kunnen er blijkbaar niet mee omgaan.
Wachtwoord: het is vast niet zo dat user/pass in de mail is benoemd o.i.d. Maar dat op een link is geklikt waarna schijnbaar de 'normale' dagelijks loginpagina verschijnt. Tenminste, zo gaat het vaak. En eenmaal binnen is dan binnen, tot de volgende MFA-verificatie.
Waarom vertrouwen we ze nog met gegevens!? Haal alles er gewoon weg. Ze kunnen er blijkbaar niet mee omgaan.
Wachtwoord: het is vast niet zo dat user/pass in de mail is benoemd o.i.d. Maar dat op een link is geklikt waarna schijnbaar de 'normale' dagelijks loginpagina verschijnt. Tenminste, zo gaat het vaak. En eenmaal binnen is dan binnen, tot de volgende MFA-verificatie.
En dat is wat mij verbaasd.
Als iemand van buiten een eigen bedrijfs-netwerk probeert in te loggen dan zou MfA toch bij elke inlogpoging afgedwongen moeten worden. Ongeacht of dit een eigen medewerker, een "vertrouwd bedrijf", of een crimineel is. En ongeacht of dit de webmail of het netwerk betreft.
Dus hoe zijn die criminelen aan die (use-one-time) MfA gekomen, die bij die login/wachtwoord combinatie hoorde?
(Kan de wethouder dat uitleggen svp)
Waarom vertrouwen we ze nog met gegevens!? Haal alles er gewoon weg. Ze kunnen er blijkbaar niet mee omgaan.
Wachtwoord: het is vast niet zo dat user/pass in de mail is benoemd o.i.d. Maar dat op een link is geklikt waarna schijnbaar de 'normale' dagelijks loginpagina verschijnt. Tenminste, zo gaat het vaak. En eenmaal binnen is dan binnen, tot de volgende MFA-verificatie.
En dat is wat mij verbaasd.
Als iemand van buiten een eigen bedrijfs-netwerk probeert in te loggen dan zou MfA toch bij elke inlogpoging afgedwongen moeten worden. Ongeacht of dit een eigen medewerker, een "vertrouwd bedrijf", of een crimineel is. En ongeacht of dit de webmail of het netwerk betreft.
Dus hoe zijn die criminelen aan die (use-one-time) MfA gekomen, die bij die login/wachtwoord combinatie hoorde?
(Kan de wethouder dat uitleggen svp)
Aitm phishing is een methode waarmee je de seshion cookies kan stelen. Hiermee kun je inloggen zonder MFA ;)
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
