Datalek bij Súdwest: hacker kan bij gegevens 2000 inwoners (maar meldt dit netjes)

REGIO De persoonlijke gegevens van zo’n tweeduizend inwoners van Súdwest-Fryslân zijn niet goed beschermd geweest. Het digitale subsidieloket van de gemeente draaide op verouderde, kwetsbare software. Een zogenaamde ‘ethische hacker’ ontdekte dit datalek en kaartte het aan.

De melding kwam 27 januari binnen bij de gemeente. Het gaat om een ‘Responsible disclosure’-melding. Vrij vertaald: iemand komt op een in theorie strafbare manier achter een misstand, maar meldt dit juist ter verbetering van de situatie. De voorwaarden hiervoor staan vermeld op de gemeentewebsite. Súdwest onderneemt dan ook geen juridische stappen. Door het meegeleverde bewijs wordt gesproken van een serieuze bedreiging.

‘Door de kennis van zo’n hacker kunnen we de maatregelen nemen om de genoemde kwetsbaarheid te ondervangen’, zo schrijft het college van burgemeester en wethouders in een document aan de overige raadsleden.

B. en w. laat ook weten dat de situatie ‘op dit moment onder controle is’. Er is geen direct beveiligingsrisico meer, nadat de server waarop deze dienst draaide in isolatie is gezet. Het digitale subsidieloket is vooreerst gesloten, aanvragen kunnen per mail gedaan worden. 

Wel blijkt dat het digitale systeem langere tijd bloot heeft gelegen. Dat is nu aangetoond door een ethische hacker, maar het zou kunnen dat minder goedwillende internetcriminelen het lek ook hebben ontdekt.  

‘Het is nodig om te weten in hoeverre de gegevens van personen al dan niet zijn geraakt. Wellicht is er eerder een hacker geweest die wel gegevens heeft gekopieerd of benaderd zonder dat we dat hebben gemerkt’, schrijft Súdwest. Er is daarom een extern onderzoeksbureau ingeschakeld dat de servers napluist. De resultaten daarvan worden binnenkort verwacht. De voorlopige conclusie is echter dat er geen sporen van misbruik zijn gevonden.

Het aantal burgers waarvan de gegevens mogelijk zijn geraakt ligt rond de tweeduizend. Alle mogelijk betroffen personen en instanties zijn per brief op de hoogte gesteld van de situatie.