Webwereld-lezers Jeroen Slobbe, Paul van Brouwershaven en een andere lezer, gaven de redactie diverse signalen dat het foute boel was met verschillende websites van de gemeente Eindhoven. Het gaat om de Belastingbalie, een vacaturesite, een portal voor 'schoon Eindhoven', de site voor bestemmingsplannen, een portal gericht op mobiliteit en het niet versleutelen van persoonsgegevens bij het versturen.

Logius, de beheerder van overheidsbrede ICT-oplossingen, heeft vanwege de lekken Eindhoven losgekoppeld van DigiD. We hadden de Eindhovense lekken eigenlijk donderdag willen onthullen, maar vanwege het urgente ingrijpen van Logius melden we ze alvast op woensdagavond.

Belastingbalie

Het meest pijnlijk is het probleem met de belastingbalie van de gemeente. Op die site kunnen burgers automatische incasso's regelen, aangiftes doen voor bijvoorbeeld hondenbelasting, bezwaarschriften indienen, taxatieverslagen voor de OZB-belasting inzien en betalingen krijgen. Zonder enige controle, wachtwoord of gebruikersnaam blijkt de beheersconsole (voor de technici: van JBoss) toegankelijk via een browser.

Niet alleen de administratieve modules blijken toegankelijk, maar het is ook mogelijk beheersinstellingen aan te passen. Verder is er toegang tot de instellingen voor de versleutelingen. Die versleuteling werkt namelijk met willekeurige nummers, die normaal gesproken door het systeem worden gegenereerd. Deze instelling is echter aan te passen, waardoor het kraken van verbindingen mogelijk wordt.

XSS, SQL-injection en onversleutelde gegevensverzending

Maar ook andere sites van de gemeente zijn lek. Zo zijn de sites voor bestemmingsplannen en www.beeldschoon.eindhoven.nl kwetsbaar voor een SQL-injectionlek. Daarnaast blijken twee subsites (werkenbij.eindhoven.nl en bereikbaar.eindhoven.nl) gevoelig voor cross site scripting lekken.

Tot slot blijkt dat op diverse plekken informatie van burgers niet versleuteld naar de gemeente wordt gestuurd. Ironisch genoeg is dat op dit moment voor Thuiswinkel.org een reden om een webwinkel het Waarborg Thuiswinkel te weigeren. En juist vandaag heeft die organisatie besloten dat deze ondergrens onvoldoende is.

Directe actie

Webwereld heeft de reeks van lekken gemeld bij VNG en Govcert, waarna door het Ministerie van Binnenlandse Zaken is besloten de gemeente Eindhoven te ontkoppelen van DigiD. De gemeente mag pas weer worden aangesloten als de beveiliging op orde is. Daarnaast heeft Webwereld de problemen bij de gemeente zelf aanhangig gemaakt, die daarop besloot diverse websites 'op zwart' te zetten. De Belastingbalie is in zijn geheel gesloten.

“De genoemde websites zijn uit voorzorg uit de lucht gehaald. In sommige gevallen gaat het om openbare informatie", vertelt een voorlichter van de gemeente tegenover Webwereld. Morgen kijkt de gemeente verder naar de meldingen. “Als je iets op zwart zet moet je checken wat er aan de hand is."

Eindhoven is niet aangesloten bij Govcert. Ze kunnen wel ondersteuning krijgen van de organisatie, maar aangesloten overheden gaan voor. Waarom de stad niet met Govcert samenwerkt, moet de voorlichtster nog uitzoeken. “Misschien omdat we het zelf goed aankunnen", zegt ze. De zegsvrouw, Elly Reijnen, weigert haar naam te geven, ondanks haar openbare taak. Wel benadrukt ze dat de gemeente direct heeft gehandeld.

Niet eerste keer

Vorige maand bleek Eindhoven ook al documenten te lekken. Toen ging het om slecht afgeschermde interne documenten, waardoor deze door Google werden geïndexeerd. De gemeente beloofde beterschap.

Update 21:49: eerder incident van de gemeente Eindhoven toegevoegd

Kijk voor alle artikelen in het kader van Lektober op onze dossierpagina.