ID-Ware, het bedrijf dat verantwoordelijk is voor de uitgifte van Rijkspassen, is afgelopen maand gehackt. Daarbij zijn persoonsgegevens van leden van de Eerste en Tweede Kamer en enkele duizenden rijksambtenaren buitgemaakt. Het incident is gemeld bij de Autoriteit Persoonsgegevens.
Dat schrijft staatssecretaris van Digitalisering Alexandra van Huffelen in een brief aan de Tweede Kamer.
Persoonsgegevens 3.500 ambtenaren buitgemaakt
ID-Ware is een IT-bedrijf dat toegangssystemen levert aan zowel het bedrijfsleven als de overheid. Het technologiebedrijf levert onder meer Rijkspassen aan parlementsleden, ambtenaren, beleidsmakers en fractiemedewerkers. Een Rijkspas is een authenticatie- en identificatiemiddel waarmee politici toegang krijgen tot afgesloten gedeelten van overheidsgebouwen, zoals de Tweede Kamer.
Op 21 september ontdekte ID-Ware dat hackers de interne systemen hadden weten te infiltreren. Met behulp van ransomware gooiden de aanvallers vertrouwelijke en privacygevoelige bestanden achter slot en grendel. Ondanks dat een grote hoeveelheid data was versleuteld, wist ID-Ware de schade snel te herstellen. Tijdens het onderzoek naar de toedracht van de cyberaanval, ontdekten beveiligingsspecialisten dat er “een grote hoeveelheid bestanden” naar buiten is gebracht.
Staatssecretaris Van Huffelen zegt dat het gaat om gegevens die noodzakelijk zijn om een Rijkspas te maken: naam, geboortedatum, geslacht, Rijkspasnummer en pasfoto. Van zeker 3.500 ambtenaren zijn gegevens buitgemaakt, waaronder leden van de Eerste en Tweede Kamer.
Staatssecretaris: ‘Aanval zal beperkte impact hebben’
Uit onderzoek is gebleken dat de databaseservers die gebruikt worden bij de uitgifte van Rijkspassen niet geraakt zijn door de aanval. Of er gegevens van Rijkspasgebruikers staan op de fileservers die wel geraakt zijn, wordt onderzocht.
Ondanks dat de daders vertrouwelijke gegevens hebben gestolen, denkt de staatssecretaris niet dat het voorval een grote impact zal hebben op de gedupeerden. De bewindsvrouw denkt dat phishing de grootste zorg is. Bij phishing proberen cybercriminelen nietsvermoedende burgers te bedonderden door zoveel mogelijk privégegevens buit te maken.
Van Huffelen benadrukt dat met de gelekte informatie geen Rijkspassen gefabriceerd kunnen worden. “Het hiervoor benodigde sleutelmateriaal wordt niet verwerkt bij ID-Ware”, zo schrijft Van Huffelen aan de Tweede Kamer. Desalniettemin betreurt de staatssecretaris dat het incident heeft plaatsgevonden.
Deze maatregelen zijn er getroffen
ID-Ware heeft een onderzoeksteam ingericht om te kijken hoe het voorval heeft kunnen plaatsvinden en wat de mogelijke impact is. De interne systemen van de Rijkspasbeheer, Eerste en Tweede Kamer zijn weliswaar niet getroffen door de ransomware-aanval, maar voor de zekerheid worden de netwerken nauwlettend gemonitord.
De slachtoffers zijn of worden de komende dagen op de hoogte gesteld van het incident. Tot slot is er een melding gedaan bij de Autoriteit Persoonsgegevens en aangifte bij de politie.
De Volkskrant: ‘ALPHV/BlackCat voerde ransomware-aanval uit’
Veel details ontbreken nog over de cyberaanval. Techjournalist Huib Modderkolk van de Volkskrant zegt dat ALPHV/BlackCat verantwoordelijk is voor de aanval. De hackersgroep heeft een grote hoeveelheid informatie op het dark web gepubliceerd. Staatssecretaris Van Huffelen wilde daar niets over kwijt in haar brief.
Experts zeggen dat ALPHV/BlackCat momenteel de grootste en gevaarlijkste hackersgroep ter wereld is. De groep is naar verluidt verantwoordelijk voor de cyberaanval op de Zwitserse luchtvaartdienstverlener Swissport. Het vermoeden bestaat dat het hackerscollectief een voortzetting is van de Russische hackersgroep DarkSide.
Update (11 november 2022): aanvankelijk ontkende ID-Ware dat er gegevens van Kamerleden waren buitgemaakt bij de hack op het bedrijf. Uit nader onderzoek is gebleken dat er wel degelijk persoonlijke gegevens zijn gestolen van leden van de Eerste en Tweede Kamer. Zo’n 1.300 medewerkers zijn hiervan de dupe. Zij zijn persoonlijk op de hoogte gesteld.
De gegevens van de Kamerleden zijn gelekt via logbestanden op de getroffen opslagserver waren opgeslagen. “Hoewel de gevolgen van deze datalekken voor de pasgebruikers waarschijnlijk beperkt zijn, wil ik nogmaals benadrukken dat ik dit incident zeer betreur, en ook de mogelijke gevolgen voor de betrokken personen”, zo schrijft staatssecretaris Van Huffelen in een tweede brief over het incident aan de Tweede Kamer.
ID-Ware heeft melding gedaan van de datalekken bij de Autoriteit Persoonsgegevens. Verder heeft het bedrijf maatregelen genomen om herhaling in de toekomst te voorkomen. Tot slot worden de verbindingen tussen de systemen van de Rijkspas en ID-Ware nauwlettend gemonitord.
