Diverse data- en beveiligingslekken in website gemeente + gegevens cliënten gepubliceerd (door medewerker?) (11/10/26)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★ (de informatie over het datalek komt uit meerdere bronnen)

Organisatie

Gemeente Eindhoven.

Betrokkenen

Burgers van de gemeente.

Soort (persoons)gegevens

Incident 1: onduidelijk.

Incident 2: "[...] 13.639 Eindhovense Wmo-cliënten [...]" (Eindhovens Dagblad, 11/10/29)

Type incident

Incident 1: inbreuk op de beveiliging en potentieel op beschikbaarheid, integriteit en vertrouwelijkheid van de verwerkte gegevens.

Incident 2: inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Omschrijving van het incident

Incident 1: "Webwereld-lezers [...] gaven de redactie diverse signalen dat het foute boel was met verschillende websites van de gemeente Eindhoven. Het gaat om de Belastingbalie, een vacaturesite, een portal voor 'schoon Eindhoven', de site voor bestemmingsplannen, een portal gericht op mobiliteit en het niet versleutelen van persoonsgegevens bij het versturen. [...] Het meest pijnlijk is het probleem met de belastingbalie van de gemeente. Op die site kunnen burgers automatische incasso's regelen, aangiftes doen voor bijvoorbeeld hondenbelasting, bezwaarschriften indienen, taxatieverslagen voor de OZB-belasting inzien en betalingen krijgen. Zonder enige controle, wachtwoord of gebruikersnaam blijkt de beheersconsole (voor de technici: van JBoss) toegankelijk via een browser. Niet alleen de administratieve modules blijken toegankelijk, maar het is ook mogelijk beheersinstellingen aan te passen. Verder is er toegang tot de instellingen voor de versleutelingen. Die versleuteling werkt namelijk met willekeurige nummers, die normaal gesproken door het systeem worden gegenereerd. Deze instelling is echter aan te passen, waardoor het kraken van verbindingen mogelijk wordt. Maar ook andere sites van de gemeente zijn lek. Zo zijn de sites voor bestemmingsplannen en www.beeldschoon.eindhoven.nl kwetsbaar voor een SQL-injectionlek. Daarnaast blijken twee subsites (werkenbij.eindhoven.nl en bereikbaar.eindhoven.nl) gevoelig voor cross site scripting lekken. Tot slot blijkt dat op diverse plekken informatie van burgers niet versleuteld naar de gemeente wordt gestuurd." (WebWereld, 11/10/26)

Incident 2: "De gemeente Eindhoven is voor de tweede keer in korte tijd ernstig in verlegenheid gebracht door het internet. Deze keer gaat het niet om een lek in een van de gemeentelijke websites, maar om gegevens van 13.639 Eindhovense Wmo-cliënten die bijna twee maanden lang voor iedereen toegankelijk op de website scribd.com hebben gestaan. [...] Het Wmo-document werd deze week op Scribd aangetroffen door [een] internet-journalist [...]." (Eindhovens Dagblad, 11/10/29)

Respons van de organisatie

Incident 1: "Webwereld heeft de reeks van lekken gemeld bij VNG en Govcert, waarna door het Ministerie van Binnenlandse Zaken is besloten de gemeente Eindhoven te ontkoppelen van DigiD. De gemeente mag pas weer worden aangesloten als de beveiliging op orde is. Daarnaast heeft Webwereld de problemen bij de gemeente zelf aanhangig gemaakt, die daarop besloot diverse websites 'op zwart' te zetten. De Belastingbalie is in zijn geheel gesloten. 'De genoemde websites zijn uit voorzorg uit de lucht gehaald. In sommige gevallen gaat het om openbare informatie', vertelt een voorlichter van de gemeente tegenover Webwereld. Morgen kijkt de gemeente verder naar de meldingen. 'Als je iets op zwart zet moet je checken wat er aan de hand is.' Eindhoven is niet aangesloten bij Govcert. Ze kunnen wel ondersteuning krijgen van de organisatie, maar aangesloten overheden gaan voor. Waarom de stad niet met Govcert samenwerkt, moet de voorlichtster nog uitzoeken. 'Misschien omdat we het zelf goed aankunnen', zegt ze." (WebWereld, 11/10/26)

Incident 2: "Het gemeentelijke Bureau Integriteit heeft inmiddels een onderzoek ingesteld en beslist aan de hand van de resultaten wat voor maatregelen ze tegen de medewerker neemt. De mensen die op het op internet geplaatste stuk staan, krijgen binnenkort een excuusbrief van de gemeente." (Eindhovens Dagblad, 11/10/29)

Bronnen

Eerste publicatie:
Off-site link, opens in new window WebWereld: Lek 21-27 - Eindhoven Lektober Lekkenkampioen (11/10/26)
Off-site link, opens in new window Eindhovens Dagblad: WMO-gegevens Eindhoven op website (11/10/29)

Zie verder:
Off-site link, opens in new window Nu.nl: DigiD van site Eindhoven af (11/10/27)
Off-site link, opens in new window Tweakers.net: Gemeente Eindhoven raakt DigiD-koppeling kwijt (11/10/27)
Off-site link, opens in new window Nu.nl: 'Eindhovense WMO-gegevens online' (11/10/29)
Off-site link, opens in new window Nu.nl: Deel sites gemeente Eindhoven weer online (11/11/03)
Off-site link, opens in new window Tweakers.net: Website gemeente Eindhoven weer aangesloten op DigiD (11/11/15)



Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-2011 D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.