Epe: aanvaller kraakte wachtwoord beheerder, kreeg toegang tot noodaccount

In dit artikel:

De gemeente Epe meldt dat een aanvaller in maart grootschalig toegang kreeg tot haar ict-omgeving en 871 GB aan gegevens heeft buitgemaakt, waaronder een export uit de Basisregistratie Personen (BRP) met namen, adressen, geboortedata en BSN. De inbreuk werd op 12 maart ontdekt; onderzoek wees uit dat de eerste toegang op 10 maart ontstond via een zogenaamde ClickFix-aanval waarbij een medewerker werd verleid een kwaadaardig commando uit te voeren.

De aanvaller gebruikte vervolgens ingelogde sessies om aanmeldgegevens te ontcijferen (kerberostickets) en wist het wachtwoord van een beheerder te kraken. Daarmee ontstond toegang tot een noodaccount met zeer ruime rechten — een account dat fungeert als universele sleutel en waarvoor geen multi-factor authenticatie (MFA) was ingericht. Door die gebrekkige aanvullende beveiliging kon de dader diep in systemen doordringen.

Naast BRP-gegevens werden persoonlijke gegevens van medewerkers (zoals e-mail, zakelijke telefoonnummers, aanstellingsdata en profielfoto’s), financiële informatie, aanvragen en meldingen, en ongeveer duizend kopieën van identiteitsbewijzen meegenomen. Volgens Epe zijn de gelekte bestanden vooralsnog niet op bekende leksites verschenen, is er geen losgeld geëist en zijn er geen signalen van misbruik gevonden. Als reactie vernieuwt de gemeente onder meer het bewustwordingsprogramma voor medewerkers en zal zij beveiligingsmaatregelen aanscherpen.