Gemeente Epe werd vorige week slachtoffer van een gerichte cyberaanval. Hoewel er eerst weinig informatie werd gedeeld over de ontvreemde data en gebruikte methode, is dat nu wel het geval. Cybercriminelen drongen via een ClickFix-phishingtechniek de ICT-systemen binnen en stalen ruim 800 GB aan data. Het gaat om ongeveer 600.000 bestanden, waaronder persoonsgegevens van inwoners.
De aanval begon donderdagmiddag 12 maart, toen de gemeente een melding ontving dat er ingebroken was op haar ICT-systemen. Samen met cybersecurity-experts heeft de gemeente de systemen gecontroleerd en weer beveiligd. Vrijdagochtend startte een vervolgonderzoek, waaruit vrijdagavond bleek dat bestanden van een interne netwerkschijf waren ontvreemd.
De gebruikte aanvalsmethode is inmiddels vastgesteld en naar buiten gebracht. Het gaat om ClickFix, een vorm van phishing waarbij gebruikers worden misleid via valse foutmeldingen of nep-captcha’s om zo schadelijke opdrachten uit te voeren. De techniek wordt ingezet voor uiteenlopende aanvallen van infostealers tot ransomware.
Persoonsgegevens van inwoners gelekt
De gestolen bestanden bevatten veel verschillende soorten informatie. Zo noemt de gemeente dat er bestanden met persoonsgegevens, waaronder namen en adressen, bij het lek betrokken zijn. De volledige omvang wordt nog onderzocht. Betrokkenen worden per brief geïnformeerd zodra duidelijker is wie er precies geraakt zijn.
Burgemeester Tom Horn liet weten: “Zowel inwoners als de organisatie gemeente Epe zijn slachtoffer geworden van cybercriminelen. Ik betreur het zeer dat er gegevens zijn gelekt, in het bijzonder ook persoonlijke gegevens. Daarom hebben we een melding gedaan bij de Autoriteit Persoonsgegevens.”
De gemeente heeft het datalek conform de wettelijke verplichting gemeld bij de Autoriteit Persoonsgegevens. Nederlandse gemeenten worden vaker geraakt door dit soort aanvallen.
Odido meldt cyberaanval: klantgegevens gestolen
Dienstverlening niet onderbroken
Ondanks de aanval heeft de gemeente ervoor gezorgd dat de dienstverlening gewoon door kon gaan. Zo was het gemeentehuis vanaf vrijdagochtend gewoon open en de digitale dienstverlening via de MijnEpe-portal functioneerde normaal. Criminelen kunnen de gelekte persoonsgegevens mogelijk misbruiken voor oplichting. De gemeente adviseert inwoners daarom alert te zijn op verdachte e-mails, sms’jes en telefoontjes en nooit persoonlijke of financiële informatie te delen zonder de identiteit van de afzender te verifiëren.