Lektober superknaller: Megalek treft 50 gemeenten
Gepubliceerd: Zaterdag 8 oktober 2011
Auteur: Brenno de Winter
De websites van 50 gemeenten en gemeentelijke diensten blijken volledig open te staan voor alle denkbare handelingen. Dat meldt een bron aan GeenStijl. Na ingrijpen van de VNG gaan de sites offline.
De diverse sites blijken te draaien op een oude Windows-versie, die zo open staat dat het letterlijk mogelijk was om DOS-commando's via de webbrowser uit te voeren. Dat meldt GeenStijl. Hierdoor is het niet alleen mogelijk om informatie op te halen, maar ook om bestanden aan te passen of te wissen.
Certificaten en DigiD
Pijnlijk is dat het lek ook de mogelijkheid biedt om de sessie-bestanden van DigiD op te halen. Hierdoor is het mogelijk een sessie te klonen. Iemand die kwaad wil kan daarmee namens een andere burger handelingen bij die gemeente uitvoeren.
Door het lek is het mogelijk om allerhande gegevens op te halen. Zo blijkt het mogelijk om de certificaten van de gemeenten te verkrijgen. Deze horen niet toegankelijk te zijn en vormen ook weer een eerste stap naar misbruik.
Bestanden en backups
Een ander probleem is dat alle bestanden toegankelijk zijn. Omdat men via een browser overal bij kan komen, is het mogelijk om anders beschermde bestanden te benaderen. Ook is het mogelijk bestanden toe te voegen of wijzigingen in documenten door te voeren. Een verslag kan daardoor zijn aangepast.
Sommige documenten zijn gevoelig, omdat er volgens de bron van GeenStijl persoonsgegevens van ambtenaren (gemeentemedewerkers en politie) in te vinden zouden zijn. Tussen de bestanden blijken ook backups te zitten, waardoor kopieën van de complete omgeving toegankelijk zijn.
Veel sites
Het gaat om sites van gemeenten en gemeentelijke diensten: Beemster, Bemmel, Bergambacht, Beverwijk, Binnenmaas, Bladel, Borger-Odoorn, De Beekse Akkers, Binnenwerk, De Bilt, De Marne, Doetinchem, Drimmelen, Drin, Dronten, Enkuizen, Vlist, Gendt, Genemuiden, Gilzerijen, Harenkarspel, Hasselt, Heumen, Huissen, Laarbeek, Landgraaf, Land van Wehl, Lemsterland, Leudal, Lingewaard, Littenseradiel, Nederlek, Nijkerk, Noorderkoggenland, Olst en Olst-Wijhe, Rijnwaarden, Sevenum, 's Gravendeel, Sint Oedenrode, Sport Zeewolde, Vianen, Webdam, Wijhe, Zeevang, Zeewolde, Zevenhuizen-Moerkapelle, Zoeterwoude, Zwarte Waterland en Zwartsluis.
"Het is een lek waar je 5 Boeing 747s naast elkaar kan doorduwen", stelde Von Loghausen, techneut van GeenStijl.
Snelle actie
Na het ontdekken van het lek heeft GeenStijl Webwereld benaderd om gezamenlijk de lekken aan te melden bij de verantwoordelijke instanties. In het kader van Lektober is daarvoor een samenwerking met Govcert en de Vereniging Nederlandse gemeenten.
Hierop verstuurde de Vereniging Nederlandse Gemeenten via het noodnet een bericht aan de burgemeesters. Ook Govcert, Logius en het Ministerie van Binnenlandse Zaken zijn op de problematiek gedoken.
Inmiddels is duidelijk dat de sites bij negen providers draait. Het kwaliteitsprogramma KING van de Verenging Nederlandse Gemeente benadert de providers, naast de burgemeesters van de getroffen gemeenten.
Inmiddels heeft Lektober sinds de aankondiging inclusief niet gepubliceerde, maar wel gemelde XSS-lekken, 80 lekken aan het licht gebracht.
DigiNotar-debat
Inmiddels hebben SP-kamerlid Sharon Gesthuize, PvdA-kamerlid Pierre Heijnen en GroenLinks-kamerlid Arjan El Fassed aangegeven van plan te zijn om Donner in een brief opheldering te vragen over deze reeks lekken. Zij wil tijdens het debat over DigiNotar opheldering hebben. Dat moet ergens volgende week gebeuren.
Update 19:04: Brief van SP toegevoegd.
Kijk voor alle artikelen in het kader van Lektober op onze dossierpagina.
