Ga naar de inhoud
'Geen losgeld betaald aan hackers'

IT-bedrijf: geen gegevens Kamerleden gelekt bij hack

Beeld © ANP

Het IT-bedrijf ID-ware ontkent dat door een hack bij het bedrijf persoonsgegevens van Eerste en Tweede Kamerleden zijn gestolen.

Staatssecretaris Alexandra van Huffelen (Digitalisering) schreef vrijdag aan de Tweede Kamer over de hack bij de IT-leverancier. Volgens Van Huffelen zouden gegevens van bijna 3500 mensen die gebruikmaken van de Rijkspas, de chipkaart die toegang geeft tot het parlementsgebouw en ministeries, zijn gestolen. "Uit het onderzoek is tot op heden niet gebleken dat er data van Kamerleden of andere publieke personen bij het datalek betrokken zijn", schrijft ID-ware zaterdag in een mediaverklaring.

Het IT-bedrijf meldt niets over het soort gegevens dat de hackers in handen kregen. Volgens Van Huffelen ging het om zaken als naam, geboortedatum, geslacht, pasfoto en Rijkspasnummer. Dit zijn gegevens die nodig zijn om een Rijkspas aan te maken, maar volgens de staatssecretaris is het niet mogelijk om alleen met deze gegevens een pas te maken die toegang verschaft tot het gebouw. "De bij het datalek betrokken informatie verschaft op geen enkele manier toegang tot rijksgebouwen: ID-ware beschikt niet over het hiervoor benodigde sleutelmateriaal", zegt ID-ware. 

Geen losgeld betaald 

ID-ware schrijft dat het op 18 september constateerde dat een deel van zijn servers niet meer beschikbaar was door een aanval met ransomware. Daarbij worden bestanden versleuteld die pas weer beschikbaar komen als er bijvoorbeeld losgeld is betaald. ID-ware zegt 'geen gehoor te hebben gegeven' aan de losgeldeis van de hackers. Hoeveel geld de hackers eisten, is niet bekend. 

De hack is volgens ID-ware uitgevoerd door de bekende hackersgroep BlackCat, ook bekend als AHLPV. De gelekte data zijn gepubliceerd op het darkweb, het verborgen deel van het internet. De staatssecretaris werd maandag al op de hoogte gesteld van de hack.

Onderzoek:
Lees ook
Onderzoek: meerderheid werknemers meldt cybercrime niet

Risico op phishing

"Van bijna 3500 medewerkers van de Rijksoverheid zijn naam, rijkspasnummer en paraaf gelekt vanuit de thuisbezorgservice van de kaart. Er kan uit onderzoek nog naar voren komen dat andere gegevens van rijkspasgebruikers zijn gelekt", schreef Van Huffelen vrijdag aan de Tweede Kamer. 

De staatssecretaris denkt dat de gelekte gegevens een beperkte impact zullen hebben op de betrokkenen. Het kan gaan om phishing, waarbij criminelen hengelen naar informatie. "Niettemin betreur ik dit incident zeer, evenals de mogelijke gevolgen voor betrokken personen", schrijft ze. De personen van wie vaststaat dat de gegevens zijn gelekt, zijn of worden ingelicht over de kwestie.

Tweede
Lees ook
Tweede Kamer kritisch over privacy bij nieuwe cybersecuritywet

Aangifte

Het is niet duidelijk van welke pasgebruikers de gegevens zijn gestolen. Het gaat volgens Van Huffelen om gebruikers over de hele linie, zei ze na afloop van de ministerraad. Het gaat onder andere om medewerkers van de Belastingdienst, maar het kunnen ook journalisten zijn. Ze weet ook niet hoeveel Rijkspassen er in gebruik zijn.

ID-ware, de Eerste en Tweede Kamer hebben een melding gedaan bij de Autoriteit Persoonsgegevens. Ook is er aangifte gedaan bij de politie. ID-ware zegt 'voortdurend in contact te staan' met de politie, overheid en het Nationaal Cyber Security Centrum.

Externe experts doen nog onderzoeken naar de hack. ID-ware zegt 'aanvullende veiligheidsmaatregelen' te hebben getroffen 'om zo herhaling in de toekomst te voorkomen'.

Politie
Lees ook
Politie gaat door gijzelsoftware getroffen bedrijven benaderen