Hacker krijgt door SQL-injectie toegang tot gegevens 1600 burgers op website gemeente (11/08/19)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)

Organisatie

Gemeente Den Helder.

Betrokkenen

"[...] ruim 1600 burgers [...]" (WebWereld, 11/08/19)

Soort (persoons)gegevens

"Het gaat om gegevens die burgers op de website achterlaten. Dat kan gaan om naam, adres, woonplaats, kennisgevingen, maar ook reacties en forumberichten." (WebWereld, 11/08/19)

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Omschrijving van het incident

"De zwakheid betrof een eenvoudig uit te nutten SQL-injection op de website. [De ethische hacker] die het onderzoek uitvoerde, kon zo toegang verkrijgen tot de gegevens in de database en de lay-out in kaart brengen. 'Natuurlijk haal ik geen informatie op, want dit is pijnlijk genoeg', vertelt hij Webwereld." (WebWereld, 11/08/19)

Respons van de organisatie

"Webwereld heeft direct contact gezocht met de gemeente, die besloot meteen technisch overleg te voeren. Na de beschrijving heeft Den Helder de leverancier aangesproken en inmiddels is het lek gedicht. 'We voelen ons in verlegenheid gebracht dat er een lek bleek te zitten in de hoofdsite van Den Helder. Beveiliging van digitale informatie, ook via de website, heeft bij ons absoluut prioriteit. Daarom hebben we, zodra we de tip over het lek kregen, het bedrijf dat de hosting van onze site verzorgt en verantwoordelijk is voor de beveiliging van www.denhelder.nl, opdracht gegeven het lek onmiddellijk te dichten', vertelt [de] voorlichter van de gemeente Den Helder. 'Daarbij hebben ze de hele site tegen het licht gehouden en gecontroleerd op veiligheid. De site is nu in orde.' De gemeente erkent dat het om privacy gevoelige informatie gaat, maar benadrukt dat vragen van burgers niet te achterhalen zijn. 'Verder waren webblog gegevens te raadplegen, evenals openbare informatie van en over onze gemeente. Niettemin had deze informatie nooit langs deze weg verkregen mogen worden', stelt de zegsman. 'Signalen als deze maken ons extra bewust van de verantwoordelijkheid die wij als overheid hebben als het gaat om het veilig opslaan, beheren en ontsluiten van digitale informatie.' [...] Op verzoek van de gemeente heeft de hacker nogmaals geprobeerd de site aan te vallen. De uitkomst daarvan is dat het originele lek inderdaad is gedicht. 'Dat hebben ze goed opgepakt', concludeert hij dan ook." (WebWereld, 11/08/19)

Bronnen

Eerste publicatie:
Off-site link, opens in new window WebWereld: Gemeente Den Helder lekt privé-gegevens" (11/08/19)

Zie verder:
Off-site link, opens in new window Nu.nl: Den Helder onderzoekt stappen na lek website (11/08/19)
Off-site link, opens in new window Rejo Zenger: Gemeente lekt NAW-gegevens vraagstellers (11/08/20)
Off-site link, opens in new window AG: Den Helder onderzoekt stappen na lek website (11/08/22)
Off-site link, opens in new window BoF: Datalek - Gemeente Den Helder lekt gegevens 1600 burgers (11/08/31)



Eerder | Later | Menu | FAQ en contactgegevens | Exit

Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-20YY D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.