“Verander Lektober in Stoptober", kopt NetEyes op de eigen, lekke website. “Veel gemeentes komen op dit moment negatief in het nieuws omdat ze volgens het dossier 'Lektober' de ICT security niet op orde zouden hebben", aldus de it-dienstverlener. Het haalt ook het DigiNotar-onderzoeksrapport van Fox-IT aan waaruit is gebleken dat die certificaatverstrekker er zelf oude software op nahield en dat wachtwoorden gemakkelijk waren te kraken.

'Zwak, ja'

Dit blijkt echter ook te gelden voor NetEyes zelf. De website van dat bedrijf is kwetsbaar voor een SQL-injectie aanval. Hacker Pompiedompiedom tipt dit aan Webwereld. Via die kwetsbaarheid is de beheerderslogin te achterhalen voor het CMS (content management system) dat NetEyes gebruikt.

De gebruikersnaam is het standaard 'admin', het wachtwoord is ook eenvoudig. Het is afgeleid van de naam van het bedrijf: netogen1. Ontdekker Pompiedompiedom heeft maar één reactie: “Verbeter de wereld, begin bij jezelf." NetEyes is door Webwereld getipt om de inlog te wijzigen en het SQL-lek te dichten. Het bedrijf zegt meteen actie te ondernemen. De website is inmiddels geheel offline gehaald.

Klik voor groot

Erop vertrouwen

Mede-oprichter Frans Wulms laat Webwereld weten dat de website niet door het ict-bedrijf zelf is gemaakt en daar ook niet draait. “Ik zal de provider meteen aanspreken", verzekert hij. “We gingen er van uit dat het veilig was." Hij reageert op het door Webwereld voorgelezen wachtwoord voor het CMS: “Dat is zwak, ja." De login wordt nu gewijzigd.

Directeur Stephan Müskens reageert ook nog: "NetEyes is niet gehackt, maar onze provider. Wij kunnen er niets aan doen. Je controleert niet zelf, daarvoor huur je een partij in. Je mag er vanuit gaan dat het in orde is." Hij geeft aan dat het ict-bedrijf boos is op de hoster.

Antiek CMS

Het gebruikte CMS heet Lithium. Het open source-pakket met die naam heeft in juli 2009 de laatste update gehad. De SourceForge-pagina voor die software vermeldt het volgende: 'Project is inactive anymore'. De link naar de site van de Russische maker leidt naar een zogeheten placeholder-pagina van domeinnamenbedrijf Sedo. De pagina is gevuld met ads, onder meer voor CMS Typo3. De domeinnaam zelf is te koop.

Er wordt anno 2011 nog wel gewerkt aan een CMS dat Lithium heet, maar de code daarvoor is nog niet beschikbaar. De website van de Amerikaanse tiener die dit project uitvoert is niet toegankelijk. Ondertussen zijn CMS en website van het Nederlandse beveiligingsbedrijf NetEyes dat wel.

Klik voor groot

Lektober-gemeente

“De genoemde gemeentes worden keihard aangepakt in de media. NetEyes is een ICT Partner die jarenlange ervaring heeft met security bij gemeentes." Onder de referenties van NetEyes bevinden zich diverse gemeenten. “Vertellen is één, geloven is twee. Wij kunnen ons voorstellen dat u graag eens de ervaring van anderen wilt horen. Onderstaande organisaties zijn bereid u te vertellen over onze samenwerking."

Daaronder ook Horst aan de Maas, die niet alleen al aan bod is gekomen tijdens Lektober maar vervolgens opnieuw heeft gelekt. Die gemeente heeft eerst de eigen website offline gehaald, toen ontkent dat er een probleem was, vervolgens de eigen systemen weer online gezet, waarna daarin meerdere nieuwe lekken werden gevonden.

Netwerkbeheer

NetEyes' klantcase Horst aan de Maas betreft van origine de inrichting van het Novell-netwerk, op een voor gemeenten standaardwijze die het beheer vergemakkelijkt. Recent is het bedrijf nog benaderd voor ontwerp en aanleg van een WiFi-netwerk in het gemeentehuis, voor zowel externen als voor raadsleden. Dat project is er niet van gekomen, vertelt directeur Stephan Müskens nog.

Ook bij klanten als de gemeente Montferland en Gennep heeft NetEyes het netwerkbeheer verzorgd. Bij Montferland is netwerkconsulting gedaan en van eind 2009 tot begin 2010 een virtualisatieproject uitgevoerd. Bij Gennep is nagenoeg het volledige netwerk- en systeembeheer door NetEyes gedaan, tot recent, toen de Europese aanbesteding voor een complete infrastructuurvernieuwing is gewonnen door een ander bedrijf.

'Beveiliging is complex'

“Na alle commotie bij DigiNotar en Provincie Noord Holland is de vraag: Hoe veilig is uw netwerk?", vraagt NetEyes op zijn website. Het Noord-Brabantse bedrijf, gehuisvest op De Bungelaar, haalt hierbij ook de voor de hand liggende wachtwoorden van de provincie Noord-Holland aan. “Beveiliging is een complexe materie", vermeldt het elders, terecht.

Update:

NetEyes-directeur Stephan Müskens laat Webwereld nog weten dat het bedrijf níet een WiFi-netwerk heeft aangelegd bij de gemeente Horst aan de Maas. Verder benadrukt hij dat de eigen dienstverlening van NetEyes losstaat van de lekke website. Ook het lekken bij Horst aan de Maas staat los van NetEyes.