Nieuw datalek in Amersfoort
Opnieuw brengt een cyberaanval op een (voormalig) leverancier de gemeente in de problemen.
Opnieuw kampt de gemeente Amersfoort met een datalek, veroorzaakt door een cyberaanval op een (voormalig) leverancier. Getroffen inwoners zijn ingelicht en er is een melding gedaan bij de Autoriteit Persoonsgegevens.
Zwakke plek in software
Kwaadwillenden maakten misbruik van een zwakke plek in de software van de leverancier. Bij de cyberaanval werden naam, geslacht, burgerservicenummer en geboortedatum buitgemaakt van 13 huidige en 7 voormalige inwoners van Amersfoort, waarvan er 4 zijn overleden. ‘Het gaat om gegevens uit een testomgeving van de voormalig leverancier, waarin naast voornamelijk fictieve persoonsgegevens ook bestaande persoonsgegevens staan. Dit was nodig om realistische tests uit te voeren voor de werking van het systeem,’ schrijft het college van burgemeester en wethouders in een bericht aan de gemeenteraad.
De gemeente heeft de getroffen inwoners ingelicht. Ook is er een voorlopige melding gedaan bij de Autoriteit Persoonsgegevens (AP). Het contract met de leverancier loopt in februari af en werd al niet verlengd. ‘Op dat moment wordt alle data bij deze leverancier verwijderd. Er is nauw contact met de softwareleverancier over het vervolg van dit beveiligingsincident,’ schrijft het college.
Het gaat om gegevens uit een testomgeving van de voormalig leverancier, waarin naast voornamelijk fictieve persoonsgegevens ook bestaande persoonsgegevens staan.
Te langzaam
In december 2024 werden duizenden inwoners van Amersfoort slachtoffer van een datalek van een andere leverancier van de gemeente. Het college wil de schade van het eerdere datalek verhalen op deze leverancier. Opvallend aan de eerdere hack is dat de persoonsgegevens veel te lang werden bewaard in afwachting van de voltooiing van een cloudmigratie.
Ook werd het vorige lek lang stilgehouden door de gemeente, ‘om geen onnodige onrust te veroorzaken’. Ditmaal is Amersfoort er sneller bij: de voormalige softwareleverancier meldde het lek op 16 januari aan de gemeente, die de voorlopige melding aan de AP deed op 17 januari. De brief aan de raad dateert van 24 januari.
Het IT-bedrijf Centric meldde vrijdag op zijn website dat er sprake was van ‘een kwetsbaarheid’ in een testserver die werkt met software van leverancier Cleo.
[Update:]
Centric
Het IT-bedrijf Centric meldde vrijdag op zijn website dat er sprake was van ‘een kwetsbaarheid’ in een testserver die werkt met software van leverancier Cleo. Centric benadrukt dat het om ‘een zeer beperkt aantal privacygevoelige gegevens’ van één klant gaat. Volgens Computable is die klant de gemeente Amersfoort.
Technologiewebsite Tweakers maakte vrijdag bekend dat de gelekte data van Centric op een website van een ransomwarebende staan. De aanvallers, een bende met de naam Clop, stelden eerder software van Cleo te hebben aangevallen. Op die manier zou de groep gegevens van tientallen bedrijven hebben buitgemaakt. Volgens Centric heeft de kwetsbaarheid geen impact gehad op andere systemen of de dienstverlening. ‘Uiteraard hebben we maatregelen genomen om herhaling te voorkomen’, aldus het IT-bedrijf.
Maatregelen
Maandag bracht Centric een uitgebreider statement uit: ‘Het merendeel van de data betreft testdata en data die nodig is om de Cleo VLTrader software te draaien. Forensisch onderzoek door onafhankelijke externe specialisten heeft vastgesteld dat er geen andere systemen, zoals productiesystemen, zijn getroffen en dat er geen sprake is van ransomware. Ook is vastgesteld dat het alleen om deze set aan testdata gaat waaruit geen verdere persoonsgebonden gegevens te herleiden zijn.’
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.