De gemeente Apeldoorn heeft uit voorzorg de website voor de Stadspas uit de lucht gehaald. Een ethische hacker had contact opgenomen met de gemeente toen hij ontdekte dat hij toegang had tot de inloggegevens van enkele duizenden gebruikers. Het betreffende logbestand is inmiddels verwijderd, waardoor het beveiligingslek is gedicht.
Dat schrijft de gemeente Apeldoorn dinsdag in een persbericht.
Datalek direct verholpen
De Stadspas is een kaart die inwoners van Apeldoorn kunnen gebruiken om kortingen te krijgen bij winkels, theaters en sportclubs. De kosten voor kleding, een hapje, een lidmaatschap of cursus vallen daardoor lager uit. Op de website stadspas.apeldoorn.nl konden inwoners zien bij welke bedrijven, organisaties en sportverenigingen ze de Stadspas in hun gemeente konden gebruiken.
De site is tijdelijk offline gehaald. Een ethische hacker klopte bij de gemeente aan dat hij de gebruikersnamen en wachtwoorden van 4.600 mensen kon bekijken. Dat is niet het totaal aantal mensen dat de Stadspas gebruikt: het gaat enkel om inwoners die één of meerdere malen hun inloggegevens verkeerd hadden ingevuld op de site. Zij typten bijvoorbeeld hun e-mailadres verkeerd in, of gebruikten het verkeerde wachtwoord.
De namen van deze personen belandden op een logbestand. De leverancier van de website heeft het logbestand inmiddels verwijderd. Daarmee is het datalek verholpen. Volgens de gemeente zijn er geen aanwijzingen dat er vertrouwelijke gegevens met anderen zijn gedeeld.
Gemeente informeert gedupeerden
Op een FAQ-pagina heeft de gemeente Apeldoorn een aantal vragen en antwoorden over het lek gezet. Daar lezen we dat kwaadwillenden met de inloggegevens toegang hadden tot diverse persoonlijke gegevens, waaronder naam, adres en geboortedatum. Tevens was het mogelijk om te kijken wat het tegoed was op de Stadspas. Daar herhaalt de gemeente dat er, voor zover bekend, geen vertrouwelijke gegevens zijn buitgemaakt.
Inwoners die een Stadspas hebben, kunnen deze blijven gebruiken. Er is niets gebeurd met het tegoed op hun pas. Omdat de site stadspas.apeldoorn.nl tijdelijk niet online is, is het onmogelijk om het saldo op de kaart te controleren.
Iedereen waarvan de gegevens online hebben gestaan, ontvangen een e-mail en een brief van de gemeente. Daarin worden ze bijgepraat over het datalek. Het duurt mogelijk een aantal dagen voordat het bericht op de deurmat valt. “Het uitzoekwerk kost veel tijd en is complex”, zo schrijft de gemeente. De Autoriteit Persoonsgegevens is ingelicht toen het lek boven tafel kwam.
Zo voorkom je dat jij slachtoffer wordt van een cybercrimineel
Tot slot geeft de gemeente Apeldoorn een aantal tips om te voorkomen dat inwoners het slachtoffer worden van een internetoplichter. Allereerst raadt de gemeente aan om niet overal hetzelfde wachtwoord te gebruiken. “Gebruikt u het wachtwoord dat u voor de stadspas heeft gebruikt ook op andere plekken? Verander het wachtwoord dan ook op die andere plekken!”, benadrukt de gemeente.
Verder attendeert de gemeente inwoners op het feit dat ze benaderd kunnen worden door iemand of een instantie die helpdeskfraude probeert te plegen. Krijg je een telefoontje, brief of e-mail van bijvoorbeeld de gemeente, bank of andere instantie? Neem dan zelf contact op met deze organisatie en controleer of het bericht legitiem is.
Krijg je linkjes opgestuurd via WhatsApp of sms en vertrouw je de boel niet? Open dan vooral niet de pagina. Gaat het om een betaalverzoek, ga daar dan niet op in. Voor je het weet staan je zuurverdiende spaarcenten op de rekening van een cybercrimineel. Via appjelinkje of checkjelinkje.nl zie je in een oogopslag of een URL een echte pagina is, of dat het om een valstrik gaat.
