De zwakheid betrof een eenvoudig uit te nutten SQL-injection op de website. Ethisch hacker Pompiedompiedom, die het onderzoek uitvoerde, kon zo toegang verkrijgen tot de gegevens in de database en de lay-out in kaart brengen. “Natuurlijk haal ik geen informatie op, want dit is pijnlijk genoeg", vertelt hij Webwereld.

Het gaat om gegevens die burgers op de website achterlaten. Dat kan gaan om naam, adres, woonplaats, kennisgevingen, maar ook reacties en forumberichten. “Privacygevoelige informatie dus", concludeert een ICT'er van de gemeente dan ook.

Meteen in actie

Webwereld heeft direct contact gezocht met de gemeente, die besloot meteen technisch overleg te voeren. Na de beschrijving heeft Den Helder de leverancier aangesproken en inmiddels is het lek gedicht.

"We voelen ons in verlegenheid gebracht dat er een lek bleek te zitten in de hoofdsite van Den Helder. Beveiliging van digitale informatie, ook via de website, heeft bij ons absoluut prioriteit. Daarom hebben we, zodra we de tip over het lek kregen, het bedrijf dat de hosting van onze site verzorgt en verantwoordelijk is voor de beveiliging van www.denhelder.nl, opdracht gegeven het lek onmiddellijk te dichten", vertelt Arnoud Jansen, voorlichter van de gemeente Den Helder. “Daarbij hebben ze de hele site tegen het licht gehouden en gecontroleerd op veiligheid. De site is nu in orde."

De gemeente erkent dat het om privacy gevoelige informatie gaat, maar benadrukt dat vragen van burgers niet te achterhalen zijn. “Verder waren webblog gegevens te raadplegen, evenals openbare informatie van en over onze gemeente. Niettemin had deze informatie nooit langs deze weg verkregen mogen worden", stelt de zegsman. “Signalen als deze maken ons extra bewust van de verantwoordelijkheid die wij als overheid hebben als het gaat om het veilig opslaan, beheren en ontsluiten van digitale informatie."

Deze reacties staat haaks op de reactie van Studio 100 in België. Zij lekten door een vergelijkbaar basaal lek twee weken geleden de gevoelige gegevens van bekende Vlamingen en Nederlanders. In plaats van contact te zoeken met Pompiedompiedom en de problemen te verhelpen, deden zij aangifte tegen de bewijsvoering van de hacker. Het verschil was wel dat er in het geval van Studio 100 zeer gevoelige gegevens al jaren toegankelijk bleken.

Schandalig, maar tevreden

Pompiedompiedom is blij dat het probleem in Den Helder zo voortvarend is opgepakt, maar stoort zich wel aan het feit dat de leverancier dit soort tests zelf niet doet. ¨Schandalig dat nota bene een overheidsinstantie zich zo slecht heeft beveiligd tegen dit soort lekken", zegt hij dan ook. “Als burger ga je er vanuit dat een dergelijke instantie zijn burgers beschermt tegen dit soort blamages in de beveiliging, zeker gezien het feit dat dergelijke lekken veelvuldig in het nieuws zijn geweest de laatste tijd."

Op verzoek van de gemeente heeft de hacker nogmaals geprobeerd de site aan te vallen. De uitkomst daarvan is dat het originele lek inderdaad is gedicht. "Dat hebben ze goed opgepakt", concludeert hij dan ook.