Amersfoort slachtoffer van aanval op testomgeving Centric
Kwetsbaarheid in testserver
Centric heeft onlangs te maken gehad met een datalek. Het IT-bedrijf meldde vrijdag op zijn website dat er sprake was van ‘een kwetsbaarheid’ in een testserver die werkt met software van leverancier Cleo. Centric benadrukt dat het om ‘een zeer beperkt aantal privacygevoelige gegevens’ van één klant gaat. Volgens Computable gaat het om de data van 24 inwoners en oud-inwoners van de gemeente Amersfoort.
Technologiewebsite Tweakers maakte vrijdag bekend dat de gelekte data van Centric op een website van een ransomwarebende staan. De aanvallers, een bende met de naam Clop, stelden eerder software van Cleo te hebben aangevallen. Op die manier zou de groep gegevens van tientallen bedrijven hebben buitgemaakt.
Maatregelen
Volgens Centric heeft de kwetsbaarheid geen impact gehad op andere systemen of de dienstverlening. ‘Uiteraard hebben we maatregelen genomen om herhaling te voorkomen’, aldus het IT-bedrijf.
Maandag bracht Centric een uitgebreider statement uit: ‘Het merendeel van de data betreft testdata en data die nodig is om de Cleo VLTrader software te draaien. Forensisch onderzoek door onafhankelijke externe specialisten heeft vastgesteld dat er geen andere systemen, zoals productiesystemen, zijn getroffen en dat er geen sprake is van ransomware. Ook is vastgesteld dat het alleen om deze set aan testdata gaat waaruit geen verdere persoonsgebonden gegevens te herleiden zijn.’
Amersfoort
Bij de cyberaanval werden naam, geslacht, burgerservicenummer en geboortedatum buitgemaakt van 13 huidige en 7 voormalige inwoners van Amersfoort, waarvan er 4 zijn overleden. ‘Het gaat om gegevens uit een testomgeving van de voormalig leverancier, waarin naast voornamelijk fictieve persoonsgegevens ook bestaande persoonsgegevens staan. Dit was nodig om realistische tests uit te voeren voor de werking van het systeem,’ schrijft het college van burgemeester en wethouders in een bericht aan de gemeenteraad. In de brief wordt de leverancier niet bij naam genoemd.
De gemeente heeft de getroffen inwoners ingelicht. Ook is er een voorlopige melding gedaan bij de Autoriteit Persoonsgegevens (AP). Het contract met de leverancier loopt in februari af en werd al niet verlengd. ‘Op dat moment wordt alle data bij deze leverancier verwijderd. Er is nauw contact met de softwareleverancier over het vervolg van dit beveiligingsincident,’ schrijft het college.
In december 2024 werden duizenden inwoners van Amersfoort slachtoffer van een datalek van een andere leverancier van de gemeente. Opvallend aan de eerdere hack is dat de persoonsgegevens veel te lang werden bewaard in afwachting van de voltooiing van een cloudmigratie. Ook werd het vorige lek lang stilgehouden door de gemeente, ‘om geen onnodige onrust te veroorzaken’.
Lees ook:
“Dit was nodig om realistische tests uit te voeren voor de werking van het systeem”
Dit is vanuit de optiek van zowel testmanagement als privacymanagement volstrekte lariekoek.
Gezien het aantal incidenten bij de gemeente Amersfoort – incl. die onder verantwoordelijkheid van de gemeente Amersfoort – over de afgelopen jaren is ook wel duidelijk waar de schoen wringt.
Dat het bij de betreffende leverancier de afgelopen jaren niet veel beter ging verklaart de rest. Incl. dat de gemeente en leverancier elkaar gevonden hebben.