Hack gemeente Epe niet opgeëist, maar kosten lopen al in de tonnen

In dit artikel:

De gemeente Epe meldt na een diepgaand onderzoek dat bij de cyberaanval in maart ongeveer 800 GB aan gegevens is gestolen — ruim 600.000 bestanden — maar dat er tot nu toe geen aanwijzingen zijn dat die data daadwerkelijk zijn misbruikt. De buit bevatte persoonsgegevens van vrijwel alle inwoners (namen, adressen, geboortedata en BSN), 1.022 kopieën van identiteitsbewijzen waarvan 845 nog geldig waren, plus financiële gegevens, contractinformatie en data van ambtenaren.

De inbraak begon op 10 maart via een zogeheten ClickFix-aanval: een medewerker activeerde onbedoeld malware door een gemanipuleerde CAPTCHA-achtige handeling. De aanvallers observeerden daarna twee dagen het netwerk en gebruikten lijsten met veelvoorkomende wachtwoorden om het beheerderswachtwoord te achterhalen. Op 12 maart werden vervolgens oude bestandenservers leeggehaald. Dankzij tijdige detectie van de beveiligingssystemen kon voorkomen worden dat het volledige systeem werd versleuteld, waardoor gemeentelijke dienstverlening bleef draaien.

Opmerkelijk is dat de criminelen geen losgeld hebben geëist en dat de gestolen gegevens nog niet op bekende lek- of marktplaatsen zijn opgedoken; het darkweb wordt door experts actief in de gaten gehouden. De schadekosten zijn inmiddels opgelopen tot ruim €345.000 en kunnen stijgen nu herstel- en nazorgwerkzaamheden nog niet helemaal afgerond zijn.

De gemeente biedt getroffenen gratis vervanging van paspoort, ID-kaart of rijbewijs aan om identiteitsfraude tegen te gaan en roept inwoners op extra waakzaam te zijn voor phishing en verdachte contacten. Reacties van bewoners varieerden van nuchterheid tot bezorgdheid dat juist een overheidsinstantie doelwit werd.