Er zijn geen ongeoorloofde activiteiten op de server van Horst aan de Maas uitgevoerd, de website was veilig, er wordt continu gewerkt aan de beveiliging van de website en de gegevens van burgers lopen geen gevaar. Dat stelt de gemeente nadat er vrijdag alarm werd geslagen over lekke servers. Het offline halen van de website was eigenlijk niet nodig en dus werd de webstek terug online geplaatst. Maar dat was ten onrechte, want er blijkt veel meer mis te zijn bij de gemeente. Een deelsite lekt wachtwoorden en configuraties.

Configuratiefout

Normaliter werkt een webserver via internetpoort 80, maar de gemeente heeft op de webserver ook andere poorten openstaan. Zo is bijvoorbeeld ook poort 83 geopend voor het beheer op afstand van een deelsite, waardoor configuratiebestanden toegankelijk zijn. Een van die bestanden is de SAM-database, waarin ook de wachtwoorden staan.

Uit de informatie blijkt verder ondubbelzinnig dat de webserver, Microsoft Internet Information Server, met het administratoraccount werkt. Dat betekent dat als er misbruik van de webserver te maken is, een aanvaller alle rechten op het systeem heeft. Een beveiligingsexpert tipte Webwereld op voorwaarde van anonimiteit.

Slechte detectie

De bevindingen staan haaks op de communicatie van de gemeente Horst aan de Maas. “Nagegaan is of er ongeoorloofde activiteiten hebben plaatsgevonden op de huidige website van de gemeente Horst aan de Maas. Controles hebben aangetoond dat dit niet het geval is", schrijft de gemeente. Vreemd genoeg blijkt de beveiligingsexpert al onderzoek te hebben gedaan vóór het bekend worden van het nieuws van vijftig gemeentesites die lek zijn. Na de melding bleek het lek alsnog te bestaan. Het onderzoek van de expert heeft vrijwel zeker sporen achtergelaten, maar die zijn kennelijk niet opgemerkt.

Toch stelt de gemeente de problematiek serieus te nemen. “Samen met onze leveranciers is de gemeente continu bezig met de beveiliging van de website", stelt Horst aan de Maas. “De burger kan en mag er op vertrouwen dat wij zorgvuldig omgaan met haar gegevens." Die uitspraak staat haaks op de bevindingen, omdat iemand die kan inloggen op de server al het verkeer in de gaten kan houden. Daardoor is de privacy niet meer te waarborgen.

Slecht gekozen wachtwoord

Ook het wachtwoord van de beheerder (administrator) blijkt bij de beveiliging een probleem te zijn. Dat is door de onderzoeker geïdentificeerd als 'ww4jptif'.

Webwereld heeft opnieuw medewerkers van de VNG benaderd, die direct aan de slag zijn gegaan. Zij hebben de gemeente Horst aan de Maas opnieuw geadviseerd de website offline te halen.

Volgens de inmiddels niet meer te lezen belofte wordt er nu actief gewerkt. Zo schreef de gemeente: “Mochten we ondanks alle voorzorgsmaatregelen problemen tegen komen, dan worden deze met de grootste spoed verholpen en zorgen wij ervoor dat onze digitale dienstverlening / website veilig en betrouwbaar blijft."

Zaterdag meldde zich al een bron bij GeenStijl die duidelijk maakte dat er vijftig websites problemen met de beveiliging hebben. In sommige gevallen was het zo bont dat via de webbrowsers commando's op de server konden afgevuurd, waardoor alles mogelijk was. De VNG reageerde direct en adviseerde websites offline te halen.

Kijk voor alle artikelen in het kader van Lektober op onze dossierpagina.