Bij minstens 49 gemeentewebsites is de beveiliging van persoonsgegevens niet in orde. Dat blijkt uit onderzoek van RTL Nieuws. RTL heeft 175 gemeentewebsites onderzocht, waarbij in 49 gevallen privacygevoelige informatie kan worden onderschept doordat een hacker de verbinding ‘kraakt’. Voor 16 websites is zelf geen diepgaande kennis van informatica nodig om tot de informatie te komen.
Huwelijken of adreswijzigingen zijn zaken die online kunnen worden geregeld op een gemeentesite. Daarbij moet vaak de volledige naam, adresgegevens en burgerservicenummers worden doorgegeven. Deze informatie kan worden gebruikt om identiteitsfraude te plegen.
Onder de slecht beveiligde gemeentesites zijn de Noord-Hollandse gemeenten Diemen en Purmerend. Zij hebben inmiddels maatregelen genomen om dit te voorkomen. Wel zijn deze twee gemeentes volgens RTL nog vatbaar voor andere internetaanvallen.
Vrij complex
De Informatiebeveiligingsdienst voor gemeenten (IBD) heeft dat laten weten na een bericht van RTL Nieuws. Aanvallers zouden door het lek vertrouwelijke informatie van nietsvermoedende burgers in handen kunnen krijgen. Volgens de dienst is het echter ,,vrij complex om gebruik te maken van de kwetsbaarheid en zijn er geen indicaties dat het lek is benut”.
Geboordeaangiftes
Het probleem zit bij een techniek die SSLv2 wordt genoemd. ,,Die wordt op heel veel onderdelen van gemeentesites gebruikt, vooral bij modules waar je een afspraak kunt maken, bijvoorbeeld om aangifte van geboorte te doen. De zwaardere diensten van gemeenten gebruiken DigiD. Die is niet kwetsbaar voor dit lek”, aldus de dienst.
Geen garantie
Volgens de IBD zijn gemeenten eerder deze week op de hoogte gebracht van het lek. ,,Het kan op korte termijn worden verholpen. De oplossing is bekend en gemeenten zijn hier actief mee aan de slag. Burgers kunnen en hoeven niets te doen. Er zijn wel vaker kwetsbaarheden, 100 procent veiligheid bestaat niet.”
Overtreden wet
Het lek is DROWN genoemd. Niet alleen gemeenten zijn er gevoelig voor. Op de site drownattack.com staat een overzicht van kwetsbare sites. Daaronder zijn de sites van Yahoo, XHamster, BuzzFeed, Flickr, Groupon en Samsung. De Autoriteit Persoonsgegevens heeft vrijdag ook gewaarschuwd voor SSLv2. Organisaties die hun site niet aanpassen om de achterdeur dicht te doen, overtreden mogelijk de wet, zegt de waakhond.