Datalek Epe veel groter dan gedacht: bijna alle inwoners getroffen

In dit artikel:

In de gemeente Epe is na anderhalve maand onderzoek bekendgemaakt dat bij een cyberaanval vrijwel alle inwoners getroffen zijn: namen, adressen, geslacht, geboortedatum en -plaats, geboorteland en BSN’s zijn buitgemaakt. Bij ongeveer duizend mensen werden ook kopieën van identiteitsbewijzen gestolen; die personen kunnen kosteloos hun rijbewijs, ID-kaart of paspoort laten vervangen en krijgen uiterlijk 8 mei een persoonlijke brief. Sommige dossiers bevatten bovendien contactgegevens en bankrekeningnummers. DigiD-gegevens en gecombineerde contactlijsten zijn niet aangetroffen.

De aanval begon op 10 maart via een zogeheten ClickFix-aanval waarbij een medewerker een nep-CAPTCHA volgde en daarmee onbewust malware activeerde. Twee dagen later konden de aanvallers meekijken en vermoedelijk het wachtwoord van een systeembeheerder achterhalen met behulp van grote lijsten eerder gelekte wachtwoorden. Op 12 maart werd vervolgens grootschalig data-downloading gestart; beveiligingssystemen sloegen alarm waardoor niet alle systemen werden gegijzeld. Burgemeester Tom Horn stelde nuchter: “Mensen noemen het een lek, maar het is diefstal.”

De politie onderzoekt wie erachter zit; er is tot nu toe geen losgeld geëist en de gegevens zijn niet op het darkweb verschenen. Medewerkers hebben wachtwoorden vernieuwd en systemen zijn extra beveiligd. Alle inwoners ontvangen een brief met uitleg en advies; de gemeente roept op verdachte misbruikgevallen meteen te melden. Voor getroffen burgers geldt extra waakzaamheid rond bankverkeer en identiteitsfraude; wie zekerheid wil kan extra beschermingsmaatregelen overwegen.