Preview document (🔗 origineel)

---

Gepubliceerd: Zaterdag 8 oktober 2011

Auteur: Brenno de Winter 

De websites van 50 gemeenten en gemeentelijke diensten blijken volledig
open te staan voor alle denkbare handelingen. Dat meldt een bron aan
GeenStijl. Na ingrijpen van de VNG gaan de sites offline. 

De diverse sites blijken te draaien op een oude Windows-versie, die zo
open staat dat het letterlijk mogelijk was om DOS-commando's via de
webbrowser uit te voeren. Dat   HYPERLINK
"http://www.geenstijl.nl/mt/archieven/2011/10/deze_gemeentewebsites_zijn
_all.html"  meldt GeenStijl . Hierdoor is het niet alleen mogelijk om
informatie op te halen, maar ook om bestanden aan te passen of te
wissen. 

Certificaten en DigiD

Pijnlijk is dat het lek ook de mogelijkheid biedt om de sessie-bestanden
van DigiD op te halen. Hierdoor is het mogelijk een sessie te klonen.
Iemand die kwaad wil kan daarmee namens een andere burger handelingen
bij die gemeente uitvoeren. 

Door het lek is het mogelijk om allerhande gegevens op te halen. Zo
blijkt het mogelijk om de certificaten van de gemeenten te verkrijgen.
Deze horen niet toegankelijk te zijn en vormen ook weer een eerste stap
naar misbruik. 

Bestanden en backups

Een ander probleem is dat alle bestanden toegankelijk zijn. Omdat men
via een browser overal bij kan komen, is het mogelijk om anders
beschermde bestanden te benaderen. Ook is het mogelijk bestanden toe te
voegen of wijzigingen in documenten door te voeren. Een verslag kan
daardoor zijn aangepast. 

Sommige documenten zijn gevoelig, omdat er volgens de bron van GeenStijl
persoonsgegevens van ambtenaren (gemeentemedewerkers en politie) in te
vinden zouden zijn. Tussen de bestanden blijken ook backups te zitten,
waardoor kopieën van de complete omgeving toegankelijk zijn. 

Veel sites

Het gaat om sites van gemeenten en gemeentelijke diensten: Beemster,
Bemmel, Bergambacht, Beverwijk, Binnenmaas, Bladel, Borger-Odoorn, De
Beekse Akkers, Binnenwerk, De Bilt, De Marne, Doetinchem, Drimmelen,
Drin, Dronten, Enkuizen, Vlist, Gendt, Genemuiden, Gilzerijen,
Harenkarspel, Hasselt, Heumen, Huissen, Laarbeek, Landgraaf, Land van
Wehl, Lemsterland, Leudal, Lingewaard, Littenseradiel, Nederlek,
Nijkerk, Noorderkoggenland, Olst en Olst-Wijhe, Rijnwaarden, Sevenum, 's
Gravendeel, Sint Oedenrode, Sport Zeewolde, Vianen, Webdam, Wijhe,
Zeevang, Zeewolde, Zevenhuizen-Moerkapelle, Zoeterwoude, Zwarte
Waterland en Zwartsluis. 

"Het is een lek waar je 5 Boeing 747s naast elkaar kan doorduwen",
stelde Von Loghausen, techneut van GeenStijl. 

Snelle actie

Na het ontdekken van het lek heeft GeenStijl Webwereld benaderd om
gezamenlijk de lekken aan te melden bij de verantwoordelijke instanties.
In het kader van Lektober is daarvoor een samenwerking met Govcert en de
Vereniging Nederlandse gemeenten. 

Hierop verstuurde de Vereniging Nederlandse Gemeenten via het noodnet
een bericht aan de burgemeesters. Ook Govcert, Logius en het Ministerie
van Binnenlandse Zaken zijn op de problematiek gedoken. 

Inmiddels is duidelijk dat de sites bij negen providers draait. Het
kwaliteitsprogramma KING van de Verenging Nederlandse Gemeente benadert
de providers, naast de burgemeesters van de getroffen gemeenten. 

Inmiddels heeft Lektober sinds de aankondiging inclusief niet
gepubliceerde, maar wel gemelde XSS-lekken, 80 lekken aan het licht
gebracht. 

DigiNotar-debat

Inmiddels hebben SP-kamerlid Sharon Gesthuize, PvdA-kamerlid Pierre
Heijnen en GroenLinks-kamerlid Arjan El Fassed aangegeven van plan te
zijn om Donner in een brief opheldering te vragen over deze reeks
lekken. Zij wil tijdens het debat over DigiNotar opheldering hebben. Dat
moet ergens volgende week gebeuren. 

Update 19:04: Brief van SP toegevoegd.