image

Gemeente Buren gaat bij ransomware-aanval gestolen id-bewijzen vervangen

maandag 23 mei 2022, 10:07 door Redactie, 9 reacties

De gemeente Buren gaat driehonderd identiteitsbewijzen die bij een ransomware-aanval op 1 april werden gestolen kosteloos vervangen. Getroffen inwoners en oud-inwoners hebben een brief ontvangen voor het aanvragen van een nieuw identiteitsbewijs. "De komende tijd blijven we onze bestanden nalopen. Als er tijdens dit onderzoek meer identiteitsbewijzen worden aangetroffen, die op het darkweb staan, dan krijgen betrokkenen hierover een persoonlijk bericht", aldus de gemeente.

Criminelen achter de SunCrypt-ransomware wisten toegang te krijgen tot systemen van de gemeente Buren en daar naar eigen zeggen vijf terabyte aan data buit te maken. Het gaat onder andere om gevoelige persoonsgegevens en vertrouwelijke informatie van inwoners. Honderddertig gigabyte aan gestolen data is inmiddels online gezet. Hoe de aanvallers binnen wisten te dringen is nog altijd niet bekendgemaakt. Het digitaal forensisch onderzoek naar de exacte oorzaak loopt nog.

Wel heeft de gemeente naar eigen zeggen extra maatregelen getroffen. Wat die precies inhouden wordt niet gemeld. "De hacker zit niet meer in ons systeem en kan hier ook niet meer opnieuw binnenkomen. Anders waren we niet opnieuw opengegaan", zo laat de gemeente verder weten, die tevens opmerkt dat inwoners niet hun telefoonnummer, e-mailadres of IBAN hoeven aan te laten passen.

Reacties (9)
23-05-2022, 10:22 door Anoniem
Dat heeft toch totaal geen enkele zin? De typische acceptant van een "copietje ID" als legitimatie bij het aangaan
van een verplichting gaat toch niet checken of het een copietje is van een ID die inmiddels vervangen en dus
ongeldig is? Sterker nog, volgens mij hebben ze daar meestal niet eens de mogelijkheid voor.

Die actie zou alleen zin hebben als ze (of eigenlijk: de staat) een online service zouden aanbieden waarmee je
een willekeurige (scan van een) ID kunt checken op geldigheid. Maar dat is er niet, alleen een check op echtheids
kenmerken en verloopdatum wordt aangeboden als app. Maar dat werkt in dit geval niet, natuurlijk.
23-05-2022, 10:49 door Anoniem
De hacker zit niet meer in ons systeem en kan hier ook niet meer opnieuw binnenkomen. Anders waren we niet opnieuw opengegaan
Stelletje leugenaars.
23-05-2022, 10:49 door Anoniem
Nou, daar ben je dan weer lekker mee als je er nog eens zonder verplichte vingerafdruk hebt...
En zo worden we steeds verder gedwongen om steeds meer over ons zelf af te staan. Het lijkt Duitsland 30-er jaren wel. De gemeente is vast wettelijk verplicht om op al het nieuwe spul een vingerafdruk te zetten. Afgedwongen door de zo geweldige EU.
23-05-2022, 10:59 door walmare
Ze weten zeker dat de hacker niet meer opnieuw kan binnengekomen. Hoe de aanvallers binnen zijn gekomen willen ze niet zeggen. Dan zal het wel iets doms zijn geweest zoals RDP/FTP/SMB via internet open.
23-05-2022, 12:25 door Anoniem
Door Anoniem: Dat heeft toch totaal geen enkele zin? De typische acceptant van een "copietje ID" als legitimatie bij het aangaan
van een verplichting gaat toch niet checken of het een copietje is van een ID die inmiddels vervangen en dus
ongeldig is? Sterker nog, volgens mij hebben ze daar meestal niet eens de mogelijkheid voor.

Die actie zou alleen zin hebben als ze (of eigenlijk: de staat) een online service zouden aanbieden waarmee je
een willekeurige (scan van een) ID kunt checken op geldigheid. Maar dat is er niet, alleen een check op echtheids
kenmerken en verloopdatum wordt aangeboden als app. Maar dat werkt in dit geval niet, natuurlijk.

Of ze het checken of niet, boeit niet zo heel erg. Elk ID kaart heeft een eigen documentnummer. Wel zo handig als er misbruik gemaakt wordt van je gegevens en je komt voor onvoorziene kosten oid te staan.
23-05-2022, 13:02 door Anoniem
Door Anoniem:
Door Anoniem: Dat heeft toch totaal geen enkele zin? De typische acceptant van een "copietje ID" als legitimatie bij het aangaan
van een verplichting gaat toch niet checken of het een copietje is van een ID die inmiddels vervangen en dus
ongeldig is? Sterker nog, volgens mij hebben ze daar meestal niet eens de mogelijkheid voor.

Die actie zou alleen zin hebben als ze (of eigenlijk: de staat) een online service zouden aanbieden waarmee je
een willekeurige (scan van een) ID kunt checken op geldigheid. Maar dat is er niet, alleen een check op echtheids
kenmerken en verloopdatum wordt aangeboden als app. Maar dat werkt in dit geval niet, natuurlijk.

Of ze het checken of niet, boeit niet zo heel erg. Elk ID kaart heeft een eigen documentnummer. Wel zo handig als er misbruik gemaakt wordt van je gegevens en je komt voor onvoorziene kosten oid te staan.

Nouja of dat boeit hangt er vanaf wat voor gedoe je wilt hebben. In feite boeit het NOOIT als iemand bij je komt met
een kennelijk aangegane verplichting op basis van een kopie ID die zij ontvangen hebben. Een kopie ID is GEEN ID.
Dus die kopieen die nu gelekt zijn die zijn waardeloos. Kun je niks mee.

Maar in de praktijk is dat anders en accepteren bedrijven verplichtingen op basis van kopie ID. Tuurlijk, dat is geheel
op hun risico en jij bent daar niet bij betrokken. Maar je hebt er maar wel mooi last van: je moet reageren op
hun dreigbrieven, het hele verhaal weer ophangen, etc.

Daar verandert het opnieuw uitgeven van een ID niets aan. Zij weten niet welke de goede en welke de foute is, en
dus zullen zij gewoon het normale proces starten op basis van valse ID, inclusief het naar de deurwaarder brengen.
Dat het dan een ander documentnummer is maakt niet heel veel uit, want in beide gevallen moet jij zelf toch weer
in actie komen en het initiele "hebben wij niets mee te maken" aanhoren en weer van repliek dienen.

Heeft dus alles bij elkaar weinig zin.
23-05-2022, 13:22 door Erik van Straten - Bijgewerkt: 23-05-2022, 13:25
Door Anoniem: Dat heeft toch totaal geen enkele zin? De typische acceptant van een "copietje ID" als legitimatie bij het aangaan van een verplichting gaat toch niet checken of het een copietje is van een ID die inmiddels vervangen en dus ongeldig is? Sterker nog, volgens mij hebben ze daar meestal niet eens de mogelijkheid voor.
Precies dat vroeg ik mij ook af.

Een stukje uit https://www.rvig.nl/reisdocumenten/basisregister-reisdocumenten:
Het Basisregister reisdocumenten bevat Nederlandse reisdocumenten die niet meer in omloop mogen zijn omdat ze van rechtswege zijn vervallen (artikel 47 Paspoortwet). De Rijksdienst voor Identiteitsgegevens beheert het Basisregister. Toegang hebben alleen bestuursorganen die de gegevens nodig hebben voor de uitvoering van hun publiekrechtelijke taken.
Of bijv. banken dat register (mogen) raadplegen als er bijv. een lening wordt afgesloten, weet ik niet.

Nb. i.p.v. vermist, ingetrokken of ongeldig verklaard is soms sprake van dat een "identiteitsbewijs gesignaleerd staat in het Basisregister reisdocumenten".

Door Anoniem: Die actie zou alleen zin hebben als ze (of eigenlijk: de staat) een online service zouden aanbieden waarmee je een willekeurige (scan van een) ID kunt checken op geldigheid.
Een scan van een ID is nooit geldig omdat op z'n minst een deel van de echtheidskenmerken erin ontbreekt. Bovendien zijn tastbare identiteitsbewijzen (dus ook scans ervan) sowieso onbruikbaar als bewijs van identiteit als de betreffende persoon niet in levenden lijve voor de controleur staat (zie onderaan deze post).

Voor een "revocation check" volstaat in principe een identiteitsbewijsnummer (bijv. paspoortnummer).

Daarvan is de lengte echter aan de korte kant en/of enumeratie zou wel eens eenvoudig kunnen zijn. Bij een publiekelijk beschikbare service ("is het ID-bewijs met dit nummer geblokkeerd") zouden kwaadwillenden mogelijk eenvoudig een ander geldig nummer kunnen vinden dat niet is ingetrokken en de scan daarmee aanpassen ("photoshoppen"). Bijv. met cryptografische randomness gegenereerde (voldoende lange) GUID's is dit te voorkomen, maar het risico is dan groot dat zo'n service vervolgens als legitimatie wordt gezien voor online "authenticatie" middels ID-scans. Daar schiet het veel grotere aantal (toenemend) slachtoffers van identiteitsfraude, wiens identiteitsbewijs nog niet is geblokkeerd, helemaal niets mee op - integendeel.

Sowieso is het kunnen overleggen van een kopie of een scan van een identiteitsbewijs geen bewijs dat het jouw identiteit betreft. Als dat wel bewijs zou zijn, kan degene die de kopie van jou heeft ontvangen ook bewijzen dat hij jou is.

Iets dat geen secret is (BSN, paspoort, ...) als shared secret gebruiken met notabene veel en/of potentieel onbetrouwbare partijen (inclusief hun mate van gegevensbescherming) is vragen om ellende. Mogelijk dat te veel mensen niet snappen hoe bijvoorbeeld asymmetrische cryptografie werkt en daarom denken dat er geen betere oplossingen bestaan.
23-05-2022, 21:10 door karma4
Door Anoniem: Of ze het checken of niet, boeit niet zo heel erg. Elk ID kaart heeft een eigen documentnummer. Wel zo handig als er misbruik gemaakt wordt van je gegevens en je komt voor onvoorziene kosten oid te staan.
Een id bewijs heft echtheidskenmerken. ALs je die niet wilt of kan gebruiken dan doet een id kopietje het ook
Dat een id kopietje geaccepteerd kan worden is onwettelijk. Waarom dan dat echte probleem niet oplossen?
24-05-2022, 08:09 door Anoniem


Daar verandert het opnieuw uitgeven van een ID niets aan. Zij weten niet welke de goede en welke de foute is, en
dus zullen zij gewoon het normale proces starten op basis van valse ID, inclusief het naar de deurwaarder brengen.
Dat het dan een ander documentnummer is maakt niet heel veel uit, want in beide gevallen moet jij zelf toch weer
in actie komen en het initiele "hebben wij niets mee te maken" aanhoren en weer van repliek dienen.

Heeft dus alles bij elkaar weinig zin.

Weinig zin, maar toch wel iets. Als ik in die situatie zou zitten wil ik ook een nieuw ID.
Volgens mij sta je toch sterker als er problemen van komen. Ja kan snel bewijzen dat
het ID-bewijs waar zij een kopie van hebben gestolen is. Lijkt mij dat het je toch de nodige tijd bespaart.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.