Menu Zoeken Mijn RTL Nieuws

04 maart 2016 16:31

Beveiliging tientallen gemeentesites lek: persoonsgegevens niet veilig

Je persoonsgegevens zijn bij minstens 49 gemeentewebsites niet veilig. Een hacker kan de verbinding tussen jou en de website van de gemeente onderscheppen en privacygevoelige informatie buitmaken.

Dat blijkt uit onderzoek van RTL Nieuws bij 175 gemeentewebsites. De gegevens die je bij de websites invoert, kunnen mogelijk door kwaadwillenden worden ingezien.

Bij gemeentesites worden privacygevoelige zaken geregeld, zoals het doorgeven van een verhuizing of huwelijk. Bij veel gevallen wordt onder andere om de volledige naam, adresgegevens, geboortedatum en burgerservicenummer gevraagd. Met deze informatie wordt het een stuk gemakkelijker om identiteitsfraude te plegen.

Diemen en Purmerend
Onder andere de websites van de gemeenten Diemen en Purmerend waren kwetsbaar, maar zij hebben het lek na berichtgeving van RTL Nieuws gedicht. Beide websites zijn nog wel kwetsbaar voor andere internetaanvallen. De namen van de andere kwetsbare gemeenten worden wegens veiligheidsoverwegingen niet bekendgemaakt.

33 gemeentewebsites, zo'n 19 procent van alle geteste sites, zijn kwetsbaar voor het lek genaamd Drown waar het Nationaal Cyber Security Center twee dagen geleden voor waarschuwde

Zestien gemeentewebsites versturen gegevens zelfs zonder beveiligde verbinding, waardoor een kwaadwillende niet eens verregaande technische kennis nodig heeft om de informatie in te zien. Daarmee komt het totaal neer op 49 onveilige gemeentewebsites.

Daarnaast zijn er 51 websites waarvan de beveiliging niet up-to-date is, of die maar gedeeltelijk kwetsbaar zijn voor Drown, bijvoorbeeld alleen de webmail van medewerkers, of de sectie om een afspraak te maken of subsidie aan te vragen. Maar ook dat kan risico's met zich meebrengen, omdat een aanvaller bijvoorbeeld de inloggegevens van een gemeentemedewerker kan stelen.

Wet overtreden
De overheidsinstelling Informatie Beveiligingsdienst Gemeenten (IBD) bevestigt dat het Nederlandse gemeenten heeft gecheckt op de kwetsbaarheid voor Drown: "Bij een aantal van die gemeenten bleek de kwetsbaarheid aanwezig. De IBD heeft al die gemeenten deze kwetsbaarheid gemeld, zodat deze kan worden aangepakt." Ook het ministerie van Binnenlandse Zaken is op de hoogte van het probleem.

De Nederlandse privacywaakhond Autoriteit Persoonsgegevens (AP) meldt dat het sinds vandaag 'verscherpte aandacht' heeft voor het Drown-lek. "Als organisaties gebruikmaken van configuraties die bekende kwetsbaarheden bevatten, overtreden zij mogelijk de Wet bescherming persoonsgegevens (Wbp)", zegt een woordvoerder.

Hoe werkt de Drown-aanval?
Bij Drown maakt de aanvaller misbruik van een 20 jaar oude beveiligingstechnologie, genaamd SSL 2.0, die nog door websites wordt ondersteund. Veel websitesbeheerders hebben het systeem niet geüpdatet of denken dat het ondersteunen van SSL 2.0 geen gevaren met zich meebrengt, schrijft het Nationaal Cyber Security Center.

Als SSL 2.0 door een website wordt ondersteund, kan de hacker een aanval uitvoeren om de beveiliging te kraken - ook wanneer deze wel up-to-date is. Je merkt als gebruiker niets van de aanval, maar een kwaadwillende kan wel gegevens inzien die je op dat moment naar de website van de gemeente verstuurt. In het geval van gemeentewebsites zijn dit meestal privacygevoelige gegevens.

Wat kunnen websites doen?
Om het probleem aan te pakken, kunnen de beheerders van de gemeentewebsites de site updaten, zodat oudere SSL-technologieën niet meer worden ondersteund. Dit raadt ook het Nationaal Cyber Security Center aan.

"Het is eng dat websites die met zulke gevoelige data omgaan, kwetsbaar zijn voor de Drown-aanval", zegt onderzoeker Rik van Duijn van beveiligingsbedrijf DearBytes. "Het is verbazingwekkend dat overheidsinstanties nog gebruikmaken van zulke verouderde technologieën, terwijl er al meer dan vijf jaar veilige alternatieven zijn."

Toon reacties
Topnieuws