Gemeente Epe maakt na anderhalve maand onderzoek eindelijk de volledige omvang van het datalek bekend. Van vrijwel alle inwoners zijn persoonsgegevens gestolen, waaronder BSN-nummers. Van duizend inwoners zijn ook kopieën van hun identiteitsbewijs ontvreemd.

Burgemeester Tom Horn reageert nuchter maar gedecideerd: “Mensen noemen het een lek, maar het is diefstal. Als gemeente horen we goed voor de gegevens van burgers te zorgen en dat nemen we serieus. Helaas is het toch misgegaan.”

De aanval werd op 12 maart ontdekt en bleek al snel groter dan aanvankelijk gedacht. Eind maart vroeg de gemeente nog om extra tijd omdat de honderdduizenden gestolen bestanden moeilijk te herleiden waren. Nu is het onderzoek een stuk verder en grotendeels afgerond, waardoor er beter bekend is wat er voor gegevens buit zijn gemaakt.

Welke data is er precies gestolen?

Van vrijwel alle inwoners van de gemeente gaat het om naam, adres, geslacht, geboortedatum, geboorteplaats en -land en BSN. Van een deel zijn ook contactgegevens en bankrekeningnummers ontvreemd. De duizend inwoners bij wie een kopie van een identiteitsbewijs is gestolen, kunnen kosteloos hun rijbewijs, ID-kaart of paspoort laten vervangen. Zij ontvangen uiterlijk 8 mei een aparte brief.

Niet alles is buitgemaakt. Geen DigiD-gegevens, geen gecombineerde contactlijsten. “Experts zeggen dat cybercriminelen van datasheets houden met contactgegevens in één bestand”, aldus burgemeester Horn. “Dat hebben ze niet buitgemaakt. We hebben zulke lijsten niet.”

Hoe kwamen de criminelen binnen?

De aanval begon op 10 maart met een zogenaamde ClickFix-aanval. Een medewerker kreeg een nep-CAPTCHA te zien. De instructies om die op te lossen bevatten echter een commando die de medewerker moest kopiëren en uitvoeren. Wat diegene niet doorhad is dat daarmee malware op het systeem werd geïnstalleerd.

Twee dagen lang keken cybercriminelen mee met de systemen. Waarschijnlijk lukte het hen vervolgens om het wachtwoord van een systeembeheerder te raden schrijft GLD. Dat werd waarschijnlijk gedaan met behulp van lijsten met miljoenen eerder gebruikte wachtwoorden die online circuleren.

Op 12 maart sloegen ze echt toe en werd er begonnen met het downloaden van gegevens. De beveiligingssystemen sloegen alarm, waardoor het de kwaadwillenden niet gelukt is het gehele gemeentesysteem te blokkeren.

Verder onderzoek volgt

De politie doet verder onderzoek naar de daders. Wie er achter de aanval zit, is vooralsnog onbekend. De gemeente is niet benaderd voor losgeld en de gestolen gegevens zijn tot nu toe niet op het darkweb verschenen. Alle medewerkers hebben hun wachtwoorden vernieuwd en de systemen zijn extra beveiligd.

Alle inwoners ontvangen binnenkort een brief met uitleg en praktisch advies. De gemeente roept iedereen op extra oplettend te zijn en elke verdenking van misbruik van persoonsgegevens te melden.