Gemeente Epe heeft een evaluatierapport gepubliceerd over het datalek van maart 2026. Daaruit blijkt dat aanvallers via een onvoldoende beveiligd break-glass-account vergaande rechten in het systeem verkregen. Naast nieuwe technische details maakt de gemeente ook de totale kosten bekend: bijna 350.000 euro.
Op 10 maart 2026 kregen hackers via een ClickFix-aanval toegang tot het netwerk van gemeente Epe. Twee dagen later hadden ze ruim 552.000 bestanden gedownload van een interne bestandsserver. Daarin zaten onder andere de persoonsgegevens van vrijwel alle inwoners. Nu heeft de gemeente een gedetailleerd evaluatierapport gepubliceerd waarin werd uitgelegd hoe de aanvallers binnen konden komen en hun slag konden slaan..
Een medewerker werd via een nep-captcha verleid een schadelijk commando uit te voeren. Daarmee werd malware geinstalleerd en de MFA-gegevens van de werknemer werden onderschept. Dat er gebruikgemaakt was van phishing, was al eerder bekend. Nieuw in de evaluatie is wel hoe de aanvallers daarna hogere rechten wisten te bemachtigen.
Break-glass-account onvoldoende beveiligd
De evaluatie onthult dat de criminelen hogere gebruikersrechten kregen doordat een beheerderswachtwoord kon worden gekraakt. Maar daar stopt het niet. De gemeente schrijft ook: “Een break-glass-account, bedoeld als noodtoegang, had onvoldoende aanvullende beveiligingsmaatregelen, waardoor de aanvaller hiermee vergaande rechten kon verkrijgen.”
Zo’n account is een speciaal beheerdersaccount voor noodsituaties, bedoeld voor gebruik wanneer normale toegang niet meer werkt. Ze beschikken doorgaans over de hoogste rechten in een omgeving. Hoe de aanvallers er precies toegang toe kregen, laat de gemeente verder in het midden.
Eerder berichtte ICTMagazine al over hoe de chaotische bestandsopslag bij de gemeente het forensisch onderzoek flink vertraagde. De volledige omvang van het datalek, waaronder BSN-nummers en honderden kopieën van identiteitsbewijzen, werd pas eind april bekendgemaakt.
Kostenplaatje van bijna 350.000 euro
Opvallend in het evaluatierapport is ook de openheid over de financiële schade. Zulke details worden zelden gepubliceerd na een cyberincident. In dit geval zijn ze dus wel openbaar gemaakt. Het datalek kostte de gemeente in totaal bijna 350.000 euro. Het technisch onderzoek alleen al bedroeg ruim 120.000 euro.
Het inhuren van een incidentresponsebedrijf en externe projectleiding kostte bijna 80.000 euro euro. Daar bovenop moet nog gedacht worden aan kosten voor communicatiemedewerkers, AVG- en Woo-verzoeken, brieven aan inwoners en het kosteloos vervangen van identiteitsbewijzen.
Tot op heden zijn de gestolen gegevens niet gepubliceerd op bekende leksites of darkweb-marktplaatsen. De gemeente meldt geen indicaties van misbruik van de data, maar raadt inwoners de komende tijd goed op te letten op binnenkomende e-mails, telefoontjes en berichten. Er is ook niet bekend of het ging om een ransomware-aanval en of er in dat geval we of niet betaald is door de gemeente.