Dat blijkt uit onderzoek van Wouter van Dongen, een webexpert van DongIT. Hij was in staat om via een kinderlijk eenvoudige SQL-injection niet alleen in te loggen, maar ook volledige databasestructuur te zien. Omdat de databases ook de wachtwoorden bewaren, is het regelen van toegang tot systemen eenvoudig.

Leveranciers

Bij de grootste leverancier, GemeenteOplossingen.nl gaat het in ieder geval om 342 databases die in theorie ook leeg te halen waren. Daarbij is het wel zo dat een deel testdatabases zijn en dan geen operationele gegevens bevatten. Toch draait het om tientallen gemeenten.

“Dit is een lek dat ik ontdekte toen ik onderzoek deed op verzoek van de TYPO3-gemeenschap", zegt Van Dongen tegenover Webwereld. “Dit was niet ingewikkeld, maar kan met standaard programmatuur die nog gratis beschikbaar ook. Wat dat betreft was het een simpel onderzoek."

Opgelost

Rene Notenbomer, directielid bij GemeenteOplossingen, reageert ontspannen op vragen. Hij erkent dat het mogelijk was, maar benadrukt dat de problemen inmiddels al zijn verholpen. Toen Van Dongen zijn onderzoek deed had zijn onderneming ook al door een beveiligingsbedrijf onderzoek laten doen. “Daar kwamen exact dezelfde conclusies uit."

De aanbeveling zijn opgelost en het probleem is volgens hem dus al verholpen. Toch is de website met het Raadsinformatiesysteem van de Gemeente Bloemendaal tijdelijk offline gehaald. Hij stelt ingenomen te zijn met het onderzoek.

Geconfronteerd met het antwoord zegt Van Dongen dat het mogelijk toegang tot de MySQL-database en dat het hier weldegelijk om honderden databases gaat. “Die lijst met databases heb ik gezien, omdat ik anders niet bij de gegevens van Bloemendaal kon komen."

Wachtwoordbeleid

Omdat in de database ook het wachtwoord van de gebruikers staan, moeten deze ook gewijzigd worden. Het bedrijf zegt daarom bezig te zijn om een brief naar alle burgemeesters, die klant bij ze zijn, te faxen. “De boodschap is dat iedereen het wachtwoord moet veranderen. Daarnaast willen we ook uitdragen dat mensen voor verschillende websites verschillende wachtwoorden moet gebruiken."

De onderneming stelt inmiddels ook contact te hebben met de VNG en Logius, onderdeel van BZK, om het wachtwoordbeleid bij de overheid helder te krijgen. Dat blijkt echter niet zo eenvoudig. “Wij willen geïnformeerd worden over wat het beveiligingsbeleid is dat de overheid adviseert", stelt Notenbomer.