Websites tientallen gemeenten lek

Aangepast op

De websites van tientallen gemeenten blijken zo slecht beveiligd, dat het mogelijk was om gegevens van burgers op te vragen, aan te passen of te wissen. Dat meldt de website GeenStijl die een anonieme tip kreeg over de lekken.

De beveiligingsproblemen worden bevestigd door IT-journalist Brenno de Winter. "Door het lek kun je eenvoudig toegang krijgen tot computers of webservers van de overheid, op zo'n manier dat je volledige controle over die computers hebt", legt De Winter uit. "Je kunt bestanden downloaden waar je eigenlijk niet bij mag komen."

Nalatigheid

De websites blijken te draaien op verouderde software. Hierdoor konden hackers onder meer DigiD-sessies ophalen. "Dat betekent dat je een sessie van iemand anders kunt overnemen en je dus als een andere burger kunt uitgeven", zegt De Winter.

"Dit is geen ingewikkeld lek en er is hier zeker sprake van nalatigheid. Het gaat om oude software die in gebruik is en om een lek dat in het verleden al door Microsoft gedicht is."

Hartje

Ook kon misbruik gemaakt worden van bijvoorbeeld certificaten die op die servers staan en kunnen bestanden gewijzigd worden.

"Je kunt eigenlijk alles doen wat je hartje begeert op het moment dat je toegang hebt tot die servers", zegt De Winter. Kwaadwillenden hadden volgens hem "heel eenvoudig" hele servers kunnen platleggen en bestanden kunnen weggooien. Ook had de server zo "verminkt" kunnen worden dat hij opnieuw had moeten worden geïnstalleerd. "Eigenlijk had je gewoon volledige controle."

Bestanden en backups op de server bleken ook toegankelijk en er werden persoonsgegevens van ambtenaren aangetroffen. De getroffen gemeenten zijn relatief klein. Onder hen zijn Beverwijk, Doetinchem en Vianen.

Urgent

Iemand heeft het lek bij GeenStijl gemeld, zegt De Winter. "GeenStijl heeft het ingeschat als zijnde dermate ernstig dat ze overleg hebben gezocht. Daarop heb ik aangegeven dat het heel verstandig zou zijn om eerst de overheid op de hoogte te brengen en heel snel te handelen. Want het is ook een heel urgent lek; dit kun je niet laten liggen."

Daarop hebben GeenStijl en De Winter contact opgenomen met Govcert, het bedrijf dat de beveiliging bij de overheid regelt. Ook hebben ze contact gezocht met de Vereniging Nederlandse Gemeenten (VNG) en met het ministerie van Binnenlandse Zaken. "Er is dus veel moeite gestoken in het melden."

In een reactie meldt de VNG heeft besloten dat getroffen sites zo snel mogelijk offline moeten gaan. De providers hebben daartoe opdracht gekregen.

Op Webwereld staat een lijst van de gemeentes die een lekke website hadden.