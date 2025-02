Bij een ransomware-aanval op een softwareleverancier van de gemeente Amersfoort zijn vorig jaar de gegevens van duizenden inwoners gestolen, zo blijkt uit een feitenrelaas dat de gemeente openbaar heeft gemaakt. De gemeente maakte afgelopen december bekend dat de gegevens van honderdduizend inwoners bij een externe softwareleverancier waren gestolen. Van duizenden personen ging het ook om het Burgerservicenummer (BSN).

De gemeente Amersfoort was bezig om de afsprakenapplicatie naar de cloud te migreren en besloot daarvoor een back-up van de afsprakensoftware te maken. De back-up werd op 17 oktober via een beveiligde omgeving voor de leverancier beschikbaar gemaakt en dezelfde dag nog door de leverancier gedownload. Een dag later wist een aanvaller toegang te krijgen tot de ontwikkel-/kantooromgeving van de leverancier. Op 26 oktober werd er vermoedelijk data bij de softwareleverancier gestolen, gevolgd door de installatie van ransomware.

Op 27 oktober werd de leverancier in de ochtend door de politie ingelicht dat de naam van de leverancier in verband werd gebracht met ransomware. De leverancier stelde daarna vast dat de ontwikkel-/kantooromgeving door ransomware was getroffen en niet de productieomgeving in de cloud. Op 19 november liet de leverancier weten dat het back-upbestand van de database van de gemeente inderdaad was gestolen, maar dat het bestand was versleuteld.

Vervolgens trekt de leverancier het bericht weer in. "Het back-upbestand van de database van de gemeente Amersfoort was niet geheel versleuteld", aldus het feitenrelaas (pdf). Uiteindelijk blijkt dat de onversleutelde data bestaat uit ruim vierduizend burgerservicenummers, 125.000 e-mailadressen, 200.000 telefoonnummers, 145.000 adresgegevens en bijna 32.000 geboortedatums, zo staat in de memo van het securitybedrijf dat de gemeente ondersteunde (pdf). De gemeente geeft uiteindelijk ook toe dat het gegevens van inwoners te lang bewaarde. Hoe de aanvallers toegang tot het systeem van de softwareleverancier konden krijgen staat niet in de documenten.