De ongestructureerde opslag van bestanden bij gemeente Epe zorgde voor grote vertraging in het forensisch onderzoek na de cyberaanval van maart. Burgers moesten daardoor bijna anderhalve maand wachten op duidelijkheid. Dat blijkt uit een tijdlijn die dagblad De Stentor heeft samengesteld.
De aanval op gemeente Epe vond plaats op 10 maart en werd twee dagen later, ontdekt. De aanvallers kregen in totaal honderden gigabytes aan data in handen, waaronder 552.000 bestanden. Onder de gestolen persoonsgegevens zaten paspoorten, rijbewijzen en ID-kaarten van meer dan duizend inwoners. Pas op 23 april, bijna zeven weken later, werden getroffen burgers geïnformeerd.
Dat de communicatie zo lang op zich liet wachten, had alles te maken met hoe de gemeente haar bestanden had opgeslagen. Een woordvoerder van de gemeente liet aan De Stentor weten dat het data-onderzoek veel tijd vereiste. “Bestanden waren ongesorteerd en zonder vaste structuur opgeslagen”. De onderzoekers moesten de bestanden eerst sorteren, vervolgens moest er een methode worden opgesteld om alles goed te kunnen doorzoeken én daarna was er ook nog een handmatige controle nodig. “Sommige gegevens bleken niet goed leesbaar”, aldus de woordvoerder.
Aanval begon met nep-CAPTCHA
De aanval begon met een zogenoemde ClickFix-techniek. Een medewerker kreeg een nep-CAPTCHA te zien waarvan de instructies een verborgen malware-commando bevatten. Twee dagen lang keken de criminelen mee op de systemen van de gemeente. Pas later bleek dat vrijwel alle inwoners van Epe zijn getroffen. Van hen zijn naam, adres, geboortedatum en BSN-nummer gestolen. Van een deel van de inwoners zijn ook bank- en contactgegevens buitgemaakt en tot slot zijn er 1000 kopieeen van identiteitsbewijzen gestolen. Eind maart vroeg de gemeente al om extra tijd voor het onderzoek, omdat de honderdduizenden gestolen bestanden moeilijk te herleiden waren. Die extra tijd bleek dus noodzakelijk.
Politie doet verder onderzoek
De politie is bezig met een uitgebreid onderzoek naar de daders. Wie er precies achter de aanval zit, is nog niet bekend, of bekend gemaakt. De gemeente zegt niet benaderd te zijn voor het betalen van losgeld en gestolen gegevens zijn tot nu toe niet op het darkweb verschenen. Inwoners bij wie een identiteitsbewijs is buitgemaakt, kunnen dit kosteloos laten vervangen en ontvangen daar een aparte brief over.