Beoordeling
Organisatie
Betrokkenen
Soort (persoons)gegevens
Type incident
Omschrijving van het incident
Respons van de organisatie
Bronnen
★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)
"Het gaat om sites van gemeenten en gemeentelijke diensten: Beemster, Bemmel, Bergambacht, Beverwijk, Binnenmaas, Bladel, Borger-Odoorn, De Beekse Akkers, Binnenwerk, De Bilt, De Marne, Doetinchem, Drimmelen, Drin, Dronten, Enkuizen, Vlist, Gendt, Genemuiden, Gilzerijen, Harenkarspel, Hasselt, Heumen, Huissen, Laarbeek, Landgraaf, Land van Wehl, Lemsterland, Leudal, Lingewaard, Littenseradiel, Nederlek, Nijkerk, Noorderkoggenland, Olst en Olst-Wijhe, Rijnwaarden, Sevenum, 's Gravendeel, Sint Oedenrode, Sport Zeewolde, Vianen, Webdam, Wijhe, Zeevang, Zeewolde, Zevenhuizen-Moerkapelle, Zoeterwoude, Zwarte Waterland en Zwartsluis." (WebWereld, 11/10/08)
Onduidelijk.
Onduidelijk.
Inbreuk op de beveiliging en potentieel ook op de beschikbaarheid, integriteit en vertrouwelijkheid van de verwerkte gegevens.
"De websites van 50 gemeenten en gemeentelijke diensten blijken volledig open te staan voor alle denkbare handelingen. [...] De diverse sites blijken te draaien op een oude Windows-versie, die zo open staat dat het letterlijk mogelijk was om DOS-commando's via de webbrowser uit te voeren. [...] Hierdoor is het niet alleen mogelijk om informatie op te halen, maar ook om bestanden aan te passen of te wissen. Pijnlijk is dat het lek ook de mogelijkheid biedt om de sessie-bestanden van DigiD op te halen. Hierdoor is het mogelijk een sessie te klonen. Iemand die kwaad wil kan daarmee namens een andere burger handelingen bij die gemeente uitvoeren. Door het lek is het mogelijk om allerhande gegevens op te halen. Zo blijkt het mogelijk om de certificaten van de gemeenten te verkrijgen." (WebWereld, 11/10/08)
"Na het ontdekken van het lek heeft GeenStijl Webwereld benaderd om gezamenlijk de lekken aan te melden bij de verantwoordelijke instanties. In het kader van Lektober is daarvoor een samenwerking met Govcert en de Vereniging Nederlandse gemeenten. Hierop verstuurde de Vereniging Nederlandse Gemeenten via het noodnet een bericht aan de burgemeesters. Ook Govcert, Logius en het Ministerie van Binnenlandse Zaken zijn op de problematiek gedoken. Inmiddels is duidelijk dat de sites bij negen providers draait. Het kwaliteitsprogramma KING van de Verenging Nederlandse Gemeente benadert de providers, naast de burgemeesters van de getroffen gemeenten." (WebWereld, 11/10/08)
"De Vereniging Nederlandse Gemeenten heeft naar aanleiding van het probleem besloten dat de getroffen sites direct offline moeten worden gehaald. Sommige websites zijn al uit de lucht, maar onder andere die van de gemeente Beverwijk blijkt nog te werken. (Tweakers.net, 11/10/08)
"De vijftig gemeentewebsites die niet goed beveiligd bleken te zijn blijven zeker tot maandag op zwart staan. 'De gemeenten zijn nog volop bezig met analyses en daarbij is het weekend', zegt een woordvoerder van de Vereniging Nederlandse Gemeenten (VNG) zondag." (Nu.nl, 11/10/09)
"Zestien lekkende gemeentelijke websites blijven nog enkele dagen offline. De websites worden in die periode overgezet naar een beter beveiligde omgeving. Dat zegt de Vereniging van Nederlandse Gemeenten. De VNG heeft actie ondernomen nadat GeenStijl en Webwereld afgelopen zaterdag openbaarden dat vijftig gemeentelijke websites vertrouwelijke informatie lekten. Van die vijftig websites is een deel inmiddels beter beveiligd en overgezet naar een andere serveromgeving. De server waarop de websites stonden gehost is offline gehaald." (WebWereld, 11/10/10)
"De vijftig websites zijn, op mogelijke uitzonderingen na, gebaseerd op het oude cms Sitemanager van Gemeenteweb. Dat melden diverse bronnen uit de overheidswereld en wordt bevestigd door de VNG. Gemeenteweb verkocht het product vorig jaar oktober aan de Rotterdamse SIM Groep. Een woordvoerder van SIM verklaarde toen tegen Computable dat het bedrijf binnen een jaar het systeem wilde migreren naar het eigen cms-product SIMsite3. Bij een aantal gemeentes is dat gelukt; een aantal andere gemeentes heeft voor een ander cms gekozen of zit nog in een migratiefase. Volgens de Vereniging Nederlandse Gemeenten (VNG) kon er via een bepaalde inlogprocedure contact worden gemaakt met de server achter de websites waardoor persoonlijke gegevens van medewerkers, interne documenten en mogelijk ook DigiD-sessies te raadplegen zijn. Een woordvoerder van de VNG stelt dat het probleem van het lek zit bij de server van Gemeenteweb. SIM Groep heeft de hosting van de Sitemanager-klanten overgenomen, maar bleef gebruikmaken van de server van Gemeenteweb. Onder druk van de VNG zijn de betrokken websites uit de lucht gehaald, totdat een analyse heeft uitgewezen wat er aan maatregelen nodig is om de beveiliging van de sites weer op orde te brengen. Toch ligt het probleem niet alleen bij de server van Gemeenteweb, maar ook bij het niet wissen van oude data. [...]" (Computable, 11/10/10)
"'De websites van onze klanten waren en zijn niet lek', verklaart een hooggeplaatste medewerker [van SIM Groep] die anoniem wil blijven. 'De server van Gemeenteweb, waarop de Sitemanager-sites draaiden: die was lek. Althans, die was beveiligd, maar kennelijk dus niet goed genoeg. Op die server waren back-ups blijven staan, ook van systemen van drie, vier jaar geleden waar wij als SIM Groep niets mee te maken hadden. Bijvoorbeeld van de gemeente Horst aan de Maas, die al eerder was vertrokken als klant van Gemeenteweb.' 'Het probleem voor ons is ontstaan', vervolgt hij, 'omdat wij ten tijde van de verkoop ervoor gekozen hebben de hosting en het onderhoud van de server bij Gemeenteweb te laten. SIM werkt met een open source-omgeving. Naar die omgeving zetten wij klanten om die overstappen van Sitemanager naar ons cms. Wij hebben geen verstand van het Microsoft-platform waarop Sitemanager draaide. Wij hadden ook geen toegangsrechten op de server.'" (Computable, 11/10/11)
"De VNG gaat actief gemeenten ondersteunen om hun ICT-beveiliging beter op orde te krijgen. In oktober moet daarvoor een permanent bureau worden opgericht. [...] De stap volgt op onderzoek dat is uitgevoerd in opdracht van de vereniging na de perikelen rond Diginotar en de vele lekken die rond Lektober bekend zijn geworden. Toen bleek dat veel gemeenten een gebrekkige informatiebeveiliging hebben. Onderzoek heeft de problemen bevestigd, maar ook duidelijk gemaakt dat er een gebrek aan kennis bij gemeenten is. Verder blijken bestuurders zich daar onvoldoende van bewust en daarom is er behoefte aan concrete ondersteuning, aldus het onderzoek. [...] Een kwartiermaker gaat nu uitzoeken hoe een bureau dat deze ondersteuning moet geven het beste vorm kan krijgen en welke taken er precies moeten worden uitgevoerd. Gemeenten moeten allemaal een DigiD impact assesment uitvoeren om daarmee zwakheden op te sporen en te voldoen aan een minimaal niveau van beveiliging. Op de najaarsvergadering van de VNG in oktober moet dan een besluit worden genomen waardoor een beveiligingsbureau een permanente plaats krijgt. Dat moet in ieder geval concrete ondersteuning bieden. Voor beveiliging gaat VNG samenwerken met KING, het Kwaliteitsinstituut Nederlandse Gemeenten, een programmabureau dat ondersteunend is voor ICT-ambities van gemeenten." [Nu.nl, 12/06/29]
Eerste publicatie:
WebWereld: Lektober superknaller - Megalek treft 50 gemeenten (11/10/08)
Zie verder:
Nu.nl: Gemeentesites plat door lek (11/10/08)
Tweakers.net: Vijftig gemeentesites blijken nauwelijks beveiligd (11/10/08)
Nu.nl: VNG onderzoekt lekke websites (11/10/09)
Rejo Zenger: Ook websites van 50 gemeenten lek (11/10/09)
AG: 50 gemeentelijke websites zo lek als een mandje (11/10/10)
Computable: SIM Groep leverde lekke gemeentesites (11/10/10)
Nu.nl: Enkele gemeentesites hebben nog last van lek (11/10/10)
Tweakers.net: VNG dwingt nog geen beveiligingsrichtlijnen voor gemeentesites af (11/10/10)
WebWereld: Lektober - nog 16 gemeentelijke websites offline (11/10/10)
AG: 50 gemeenten slachtoffer van één en hetzelfde lek
Computable: SIM versnelt migratie Sitemanager-gemeenten (11/10/11)
SOLV: Lek sites 50 gemeenten te herleiden tot leverancier SIM (11/10/11)
Gemeente.nu: Lekkende overheid viert feest (11/11/14)
WebWereld: 'Feestje' bij Govcert ondanks ict-sores gemeenten (11/11/14)
Gemeente.nu: 'Lessons learned' van Lektober en Diginotar (11/11/29)
WebWereld: 'Gemeenten moeten hackers in dienst nemen' (11/11/29)
Nu.nl: Nog tien gemeenten zonder DigiD (11/12/28)
WebWereld: 10 gemeenten nog steeds DigiD-loos na megalek (11/12/28)
VNG ondersteunt gemeenten bij ICT-beveiliging (12/06/29)
Eigen securitydienst geeft gemeenten DigiD-hulp (12/07/10)
Beveiligingsdienst helpt gemeenten met IT-security (12/07/10)
Tweede lek in websites SIMgroep:
Tweakers.net: Tientallen gemeentesites bleken vatbaar voor XSS-hackaanvallen (11/10/11)
Gebruik DigiD:
Nu.nl: 'DigiD voorlopig niet beschikbaar voor gemeenten' (11/10/15)
Tweakers.net: DigiD komt voorlopig niet beschikbaar voor gemeentesites (11/10/15)
Nu.nl: Veel gemeentesites nog niet veilig genoeg voor DigiD (11/11/04)
WebWereld: Nog 33 gemeenten DigiD-loos door megalek (11/11/04)
WebWereld: Onderzoek naar DigiD-beveiliging bij 9 gemeenten (12/04/16)
WebWereld: 'Onderzoek naar veiligheid DigiD veel te traag' (12/04/26)
De Bilt:
WebWereld: De Bilt is schimmig en draait over websitelek - UPDATE (11/10/16)
WebWereld: Website De Bilt nooit gecheckt op beveiliging (11/10/20)
Gilzen en Rijen:
WebWereld: Lek11 - Hackers neuzen in wachtwoorden gemeente (11/10/13)
Binnenlands Bestuur: Abonneegegevens van site Gilze-Rijen geplukt (11/10/13)
Rejo Zenger: Wachtwoorden van 650 abonnees nieuwsbrief gelekt (11/11/26)
Horst aan de Maas:
WebWereld: Lektober-lek - Opnieuw Horst aan de Maas (11/10/09)
WebWereld: Lek8 - Horst aan de Maas lekt ook mail (11/10/10)
Landgraaf:
Nu.nl: Landgraaf dreigt journalist met rechter na hack server (11/10/14)
WebWereld: Gemeente Landgraaf dreigt Webwereld (11/10/14)
Nu.nl: Landgraaf wil praten met onderzoeksjournalist (11/10/17)
WebWereld: Raad Landgraaf steunt dreigbrief van 'burgervader' - UPDATE (11/10/17)
WebWereld: 'Lekkende gemeente Landgraaf overtreedt wet' (11/10/19)
Zeewolde:
Nu.nl: Wachtwoorden gelekt bij gemeente Zeewolde (11/10/12)
WebWereld: Lek10 - Zeewolde lekt wachtwoorden van journalisten (11/10/12)
BoF: Datalek - Gemeente Zeewolde lekt gegevens ambtenaren (11/10/26)