Data duizenden Amersfoorters gestolen bij ransomware-aanval op leverancier
Bij een ransomware-aanval op een softwareleverancier van de gemeente Amersfoort zijn vorig jaar de gegevens van duizenden inwoners gestolen, zo blijkt uit een feitenrelaas dat de gemeente openbaar heeft gemaakt. De gemeente maakte afgelopen december bekend dat de gegevens van honderdduizend inwoners bij een externe softwareleverancier waren gestolen. Van duizenden personen ging het ook om het Burgerservicenummer (BSN).
De gemeente Amersfoort was bezig om de afsprakenapplicatie naar de cloud te migreren en besloot daarvoor een back-up van de afsprakensoftware te maken. De back-up werd op 17 oktober via een beveiligde omgeving voor de leverancier beschikbaar gemaakt en dezelfde dag nog door de leverancier gedownload. Een dag later wist een aanvaller toegang te krijgen tot de ontwikkel-/kantooromgeving van de leverancier. Op 26 oktober werd er vermoedelijk data bij de softwareleverancier gestolen, gevolgd door de installatie van ransomware.
Op 27 oktober werd de leverancier in de ochtend door de politie ingelicht dat de naam van de leverancier in verband werd gebracht met ransomware. De leverancier stelde daarna vast dat de ontwikkel-/kantooromgeving door ransomware was getroffen en niet de productieomgeving in de cloud. Op 19 november liet de leverancier weten dat het back-upbestand van de database van de gemeente inderdaad was gestolen, maar dat het bestand was versleuteld.
Vervolgens trekt de leverancier het bericht weer in. "Het back-upbestand van de database van de gemeente Amersfoort was niet geheel versleuteld", aldus het feitenrelaas (pdf). Uiteindelijk blijkt dat de onversleutelde data bestaat uit ruim vierduizend burgerservicenummers, 125.000 e-mailadressen, 200.000 telefoonnummers, 145.000 adresgegevens en bijna 32.000 geboortedatums, zo staat in de memo van het securitybedrijf dat de gemeente ondersteunde (pdf). De gemeente geeft uiteindelijk ook toe dat het gegevens van inwoners te lang bewaarde. Hoe de aanvallers toegang tot het systeem van de softwareleverancier konden krijgen staat niet in de documenten.
Waarom wordt de naam niet genoemd van deze leugenaars!
Waarom wordt de naam niet genoemd van deze leugenaars!
Best treurig dat je door de politie geïnformeerd wordt i.p.v. door je eigen (b.v. EASM) tooling. Centric was het toch? Gelukkig zijn daar haast geen gemeenten van afhankelijk....
Waarom wordt de naam niet genoemd van deze leugenaars!
Best treurig dat je door de politie geïnformeerd wordt i.p.v. door je eigen (b.v. EASM) tooling. Centric was het toch? Gelukkig zijn daar haast geen gemeenten van afhankelijk....
Dit was een eerdere hack bij dat volgens de commentaren bij JCC Software zou zijn geweest, zie
https://www.security.nl/posting/867912/Amersfoort%3A+contact+met+softwareleverancier+over+datalek+verliep+moeizaam
Ik dacht dat we dit alleen veilig aan het bedrijfsleven over konden laten? Ik dacht dat jullie in koor riepen dat de overheid dat niet kon, dat ze daar te dom voor waren, en te ouderwets en dat alleen haleluja het bedrijfleven dit veilig kon met hun moderne technieken en inzichten?
Waar zijn die bedrijven nu? Hebben ze soms gelogen?
Ik dacht dat we dit alleen veilig aan het bedrijfsleven over konden laten? Ik dacht dat jullie in koor riepen dat de overheid dat niet kon, dat ze daar te dom voor waren, en te ouderwets en dat alleen haleluja het bedrijfleven dit veilig kon met hun moderne technieken en inzichten?
Waar zijn die bedrijven nu? Hebben ze soms gelogen?
Zowel bij de gemeente als bij dat bedrijf zitten ze met heel veel boter op het hoofd lijkt. probleem is nu alleen dat de burgers de schade op hun bordje krijgen zonder dat ze hier om gevraagd hadden. Ik stel voor dat de namen en BSN nummers etc. van de mensen bij de gemeente en dat bedrijf nu ook open en bloot op het internet gezet worden al is het maar om ze allemaal een koekje van eigen deeg te geven!
bijvoorbeeld een rapport van Hunt & Hackett over dit incident:
https://amersfoort.raadsinformatie.nl/document/15100268/1#search=%22JCC%22
Onversleutelde data Versleutelde data
(2009 t/m ca. 2018) (2018 t/m ca. 2024)
BSN 4.114 -
E-mailadressen 125.465 128.710
Telefoonnummers 200.168 69.710
Adresgegevens 144.994 704
Geboortedata 31.831 31.284
Dus van ieder geval de meerderheid van de Amersfoorters is in ieder geval het emailadres gelekt.
In 'Verslag raadsvergadering, Het Besluit, 17 december 2024 om 15.00 uur (nr. 1972783)'
https://amersfoort.raadsinformatie.nl/document/15049263/1
staan antwoorden op vragen van raadsleden, o.a:
De database die is gelekt is 10 GB.
Alleen al de SQL-databases van de gemeente zijn 5 TB (500 keer meer).
De gemeente heeft heel veel data en databases.
De software is niet in staat om automatisch, conform de Archiefwet, data te vernietigen.
Dat betekent dat dat elke keer een handmatige actie is.
Meer informatie over deze raadsvergadering van 17-12-2024 is te vinden op
https://amersfoort.raadsinformatie.nl/vergadering/1302637#ai_8930779
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?