Epe kon worden gehackt doordat een noodtoegangaccount slecht was beveiligd

In dit artikel:

In april lekte bij de gemeente Epe persoonlijke data van alle inwoners: namen, adressen, geboortedata en burgerservicenummers, vastgelegd in ruim 525.000 documenten. De gemeente publiceerde een evaluatie waarin staat hoe de aanval verliep: aanvallers lokten een medewerker via social engineering zodat die malware installeerde en MFA-gegevens werden onderschept. Daarna wisten de criminelen een beheerderswachtwoord te kraken en misbruikten ze een zogenoemd break‑glass‑(noodtoegangs)account dat onvoldoende extra beveiliging had, waardoor ze vergaande rechten konden krijgen en data konden exfiltreren.

Als direct gevolg verving de gemeente kosteloos circa duizend identiteitsbewijzen. Epe is ook open over de financiële gevolgen: het datalek kostte bijna 350.000 euro in totaal. Het technisch onderzoek kostte 120.896 euro; het inhuren van een incidentresponsebedrijf en externe projectleiding 79.815 euro; daarnaast liepen kosten voor communicatie, het afhandelen van AVG- en Woo-verzoeken, het versturen van brieven en het vervangen van ID‑bewijzen.

De zaak onderstreept het risico van onvoldoende afgeschermde noodtoegang en gehavende beheerdersaccounts (vergelijkbaar met Global Administrator-accounts in Microsoft Entra ID) en benadrukt het belang van strengere maatregelen voor noodaccounts, wachtwoordbeheer en monitoring bij overheidsorganisaties.