Nieuws

Criminelen stelen via ClickFix-aanval 600.000 bestanden van gemeente Epe

dinsdag 17 maart 2026, 12:53 door Redactie, 24 reacties

Criminelen hebben via een ClickFix-aanval 600.000 bestanden van de gemeente Epe gestolen. Het gaat bij elkaar om ruim achthonderd gigabyte aan data, zo heeft de gemeente bekendgemaakt. Het gaat onder andere om bestanden met persoonsgegevens, zoals namen en adressen. "De bestanden stonden op een interne werkschijf en bevatten veel verschillende soorten informatie en gegevens. Omdat het om heel veel documenten gaat duurt het lang om te bepalen welke gegevens er precies gelekt zijn en van wie", aldus de gemeente.

Bij een ClickFix-aanval worden slachtoffers verleid tot het uitvoeren van een bepaald commando op hun computer, wat tot de installatie van malware leidt. Vaak maken aanvallers gebruik van zogenaamde CAPTCHA's die stellen dat een aantal handelingen moeten worden uitgevoerd om de CAPTCHA op te lossen. De zogenaamde CAPTCHA-pagina kopieert een malafide PowerShell-commando naar het clipboard. Vervolgens wordt het slachtoffer geïnstrueerd om het commando, vaak in het Uitvoervenster of de Windows Terminal uit te voeren. Er zijn ook ClickFix-varianten voor Linux en macOS.

De aanval deed zich voor op donderdagmiddag 12 maart. De gemeente kreeg toen melding dat er in de ict-systemen was ingebroken. "We hebben samen met cyber security-experts de systemen gecontroleerd en weer veilig gemaakt. We hebben de inbraak gemeld bij de Autoriteit Persoonsgegevens", zo meldde de gemeente op 14 maart. Afgelopen vrijdag werd gestart met het vervolgonderzoek naar de inbraak. Daaruit bleek dat de aanvallers bestanden van één van de netwerkschijven hadden gestolen.

Gisteren kwam de gemeente met een update over de inbraak waarin het meldt dat er 600.000 bestanden zijn buitgemaakt, goed voor ruim achthonderd gigabyte aan data. Volgens de gemeente bevatten de bestanden veel verschillende soorten informatie en gegevens. "Zowel inwoners als de organisatie gemeente Epe zijn slachtoffer geworden van cybercriminelen. Ik betreur het zeer dat er gegevens zijn gelekt, in het bijzonder ook persoonlijke gegevens", aldus burgemeester Tom Horn.

Op de vraag of het datalek voorkomen had kunnen worden stelt de gemeente het volgende: "We hebben moderne beveiligingssystemen die veel aanvallen tegenhouden. Deze specifieke aanval was echter slim en nieuw. We onderzoeken nu samen met experts hoe dit toch kon gebeuren en hoe we onze digitale muur nog sterker kunnen maken." ClickFix-aanvallen vinden al zeker twee jaar plaats. De gemeente stelt verder dat het slachtoffers van het datalek per brief zal informeren zodra meer specifieke informatie bekend is. Hieronder een screenshot van een recent ontdekte ClickFix-aanval.

Odido verliest hoger beroep over vervangen apparatuur Huawei en ZTE

Microsoft adviseert programmeurs: wees voorzichtig met repositories van recruiters

Reacties (24)

Reageer met quote

17-03-2026, 13:10 door Erik van Straten - Bijgewerkt: 17-03-2026, 13:21

Deze specifieke aanval was echter slim en nieuw.

Twee leugens in zo'n korte zin...

En je hebt je personeel niet geleerd om eerst de domeinnaam te checken.

Reageer met quote

17-03-2026, 13:26 door Anoniem

HOE DAN ?
> "Het gaat onder andere om bestanden met persoonsgegevens, zoals namen en adressen. "De bestanden stonden op een interne werkschijf en bevatten veel verschillende soorten informatie en gegevens."

Sinds wanneer mag je 600K documenten op een "werkschijf" unencrypted opslaan ?

Tijd dat de AP eens echt de tanden laat zien aan dit soort wetsontduikers

Reageer met quote

17-03-2026, 13:44 door Anoniem

Door Erik van Straten:

Deze specifieke aanval was echter slim en nieuw.

Twee leugens in zo'n korte zin...

En je hebt je personeel niet geleerd om eerst de domeinnaam te checken.

Ik ben hier zelf ook ingetrapt, met mijn functie leun ik tegen ICT security aan.
Er wordt gebruik gemaakt van een internet ontsluiting via een datacenter en het is niet vreemd dat er CAPCHA meldingen komen van websites. Die maken gebruik wegens botjes. Ik kwam op een valide site met een capcha melding.
Ondertussen werd ik gestoord door een vraag, kom terug bij de site en voer het direct uit... gewoon uit he...
Systeem meteen down gebracht.

Reageer met quote

17-03-2026, 14:05 door Erik van Straten

Door Anoniem: Ik ben hier zelf ook ingetrapt, met mijn functie leun ik tegen ICT security aan. [...]

Dank voor jouw eerlijke reactie.

Nu zou ik kunnen roepen "maar echte CAPTCHA's vragen je nooit om... (code op jouw computer uit te voeren)" maar voortduren roepen dat "wij zullen nooit" werkt aantoonbaar niet.

Het internet moet veiliger. Hoe dat kan beschreef ik (beknopt, Engels) in https://todon.nl/@ErikvanStraten/115656812871207370.

Voor hoe je veiliger kun inloggen zie https://security.nl/posting/912904.

Reageer met quote

17-03-2026, 14:10 door Anoniem

Had de Gemeente Epe geen SOC/MxDR team die deze aanval actief in bedwang had kunnen houden?
ClickFix compromises en 800gigabyte aan data had wat mij betreft best gedetecteerd mogen worden, de impact had zeker beperkt kunnen worden

Reageer met quote

17-03-2026, 14:13 door Anoniem

Doet me denken aan het Belgische Virus uit 2001.

https://gathering.tweakers.net/forum/list_messages/107500

GEACHTE ONTVANGER,

U heeft zojuist een Belgisch virus ontvangen. Omdat we technologisch nog niet zo ver ontwikkeld zijn, is dit een handmatig virus.

Zou u alstublieft alle bestanden op uw harde schijf willen wissen en deze mail doorsturen naar iedereen die u kent.

Hartelijk dank voor uw hulp.

Een Belgische Hacker

Reageer met quote

17-03-2026, 14:21 door Anoniem

Door Anoniem: HOE DAN ?
> "Het gaat onder andere om bestanden met persoonsgegevens, zoals namen en adressen. "De bestanden stonden op een interne werkschijf en bevatten veel verschillende soorten informatie en gegevens."

Sinds wanneer mag je 600K documenten op een "werkschijf" unencrypted opslaan ?

Wie zegt dat de bestanden niet versleuteld waren? Ze hebben niet de fysieke schijf in handen gekregen! Ze hebben in de gebruikerscontext kwaadaardige software gedraaid; als de gegevens voor de medewerker versleuteld zijn kunnen ze (de gebruikers) er niks mee he?

Reageer met quote

17-03-2026, 14:25 door Anoniem

Het gaat vaak fout omdat mensen druk zijn en van alles tussendoor doen of afgeleid worden door iets of iemand. Meestal als je even rustig kijkt wat er precies gevraagd wordt hebben mensen het wel door.

En over die zgn. 'unencrypted' werkschijf (drive-mapping/file-share); die is natuurlijk unencrypted als je erbij moet kunnen vanaf je client device. In dat geval doet encryptie niet zoveel.

Dit soort zaken moet eigenlijk wat dieper afgevangen worden door bv. EP/IPS/SIEM, aan de andere kant is een user die handelingen uitvoert lastig voor de 100% te stoppen.

Reageer met quote

17-03-2026, 14:36 door Anoniem

Als er toch veel gecombineerde data naar buiten dreigt te gaan blokkeer je het systeem (al dan niet automatisch) toch lijkt mij.

Reageer met quote

17-03-2026, 14:40 door Anoniem

Je kunt je als organisatie wel afvragen of je zoveel gegevens voor zoveel mensen beschikbaar moet hebben, in een folder die je "De vergaarbak" kunt noemen.

Voldoende organisaties gezien die een share-folder hadden waar iedereen zijn zooi kon dumpen om cross-projectinfo uit te wisselen.

Een lelijke manier om dat toch berst wel prima op te lossen is die share elke maandag te shift-deleten, of de data een week opzij te zetten en daarna te deleten. Allemaal gegenereerde data die weer opnieuw is te genereren.
Echt, de hoeveelheid excel-exports die je overal tegenkomt...
"AFAS-TEST-export-2005.xlsx" of "Password-overzicht-voor-audit.pdf" "oude data van Bart" "Mailbox van Ans.pst"
brrr

Reageer met quote

17-03-2026, 14:47 door Anoniem

Valt het niet op dat 800 Gbyte aan data naar een bepaald IP-adres verzonden wordt? De hoeveelheid, en ook de locatie van het IP-adres. Neem aan dat de meeste communicatie van een gemeente niet naar het buitenland gaat,

Reageer met quote

17-03-2026, 14:53 door Anoniem

Door Anoniem: Het gaat vaak fout omdat mensen druk zijn en van alles tussendoor doen of afgeleid worden door iets of iemand. Meestal als je even rustig kijkt wat er precies gevraagd wordt hebben mensen het wel door.

En over die zgn. 'unencrypted' werkschijf (drive-mapping/file-share); die is natuurlijk unencrypted als je erbij moet kunnen vanaf je client device. In dat geval doet encryptie niet zoveel.

Dit soort zaken moet eigenlijk wat dieper afgevangen worden door bv. EP/IPS/SIEM, aan de andere kant is een user die handelingen uitvoert lastig voor de 100% te stoppen.

DE oplossing: Geen gebruikers meer toelaten op je systemen. ;-)

Reageer met quote

17-03-2026, 18:31 door Anoniem

Als je ze moet benaderen, moet je unencrypted ophalen.

Je valt een een bekende sales praat, waarin encryptie als buzz woord gebruikt wordt, maar je niet de betekenis begrijpt, wat dit nu eigenlijk exact betekent.

Reageer met quote

17-03-2026, 19:43 door Anoniem

Als het goed is zit alle burgerdata in het zaaksysteem / de BRP. Dus ehhhh, hooguit wat personeelsgegevens gestolen?

Reageer met quote

17-03-2026, 21:56 door Anoniem

Door Anoniem: Als het goed is zit alle burgerdata in het zaaksysteem / de BRP. Dus ehhhh, hooguit wat personeelsgegevens gestolen?

En emails, brieven, archief, presentie lijstjes etc etc.

Reageer met quote

18-03-2026, 07:45 door Anoniem

Door Erik van Straten:

Deze specifieke aanval was echter slim en nieuw.

Twee leugens in zo'n korte zin...

En je hebt je personeel niet geleerd om eerst de domeinnaam te checken.

Dit soort antwoorden laten zien, waar het mis gaat bij ICT beheerders. Ze kunnen zich niet inleven in hoe gebruikers denken. Maar ICT heeft (denken ze) wel de antwoorden.

Reageer met quote

18-03-2026, 08:11 door Anoniem

Door Anoniem: Doet me denken aan het Belgische Virus uit 2001.

https://gathering.tweakers.net/forum/list_messages/107500

GEACHTE ONTVANGER,

U heeft zojuist een Belgisch virus ontvangen. Omdat we technologisch nog niet zo ver ontwikkeld zijn, is dit een handmatig virus.

Zou u alstublieft alle bestanden op uw harde schijf willen wissen en deze mail doorsturen naar iedereen die u kent.

Hartelijk dank voor uw hulp.

Een Belgische Hacker

Ik zou eerst verzoeken dit door te sturen en dan pas alle bestanden te wissen ;-)

Reageer met quote

18-03-2026, 09:22 door Anoniem

Toevallig op dezelfde datum hetzelfde gehad, maar dit script draaien lukt alleen als de gebruiker local admin rechten heeft en dat zie nog heel veel.

Reageer met quote

18-03-2026, 09:27 door linuxpro

Triest dat anno 2026 'woordvoerders' zich zo openlijk vernederen door dit soort domme uitlatingen te doen er is niets slims of nieuws aan, wordt al jaren gebruikt. Waar het net zoals bij de Odildo hack aan schort is een goede en up-to-date training van personeel wat keer op keer de zwaktste schakel blijkt te zijn.

Reageer met quote

18-03-2026, 10:08 door Anoniem

Waat staat dat je data met persoonsgegevens niet unencrypted op een schijf mag hebben staan?
Bij mijn weten gaat het enkel om 'zorg dragen' niet over de technische implementatie.

Reageer met quote

18-03-2026, 10:18 door Anoniem

Door Anoniem:

Door Anoniem: Als het goed is zit alle burgerdata in het zaaksysteem / de BRP. Dus ehhhh, hooguit wat personeelsgegevens gestolen?

En emails, brieven, archief, presentie lijstjes etc etc.

En werkbestanden, lijstwerk, uitvoer uit vakapplicaties, etc etc etc

En er is meer dan alleen een zaaksysteem en de BRP:
- Zaaksysteem: alle correspondentie met burgers, bedrijven, en interne stukken.
- BRP: persoonsgegevens van burgers
- Klantvolgsysteem: persoonsgegevens van burgers die een afspraak maken
- WOZ: taxatiegegevens en belastinggegevens (incl persoonsgegevens) van eigenaren en gebruikers
- Sociaal Domein applicatie: zorg, jeugd, participatie, werk en inkomen. Data van inwoners die steun krijgen (persoonsgegevens en andere gevoelige gegevens) Brieven uit dat systeem worden meestal ook nog een ergens op een netwerkschijf opgeslagen.
- Begraafplaatsen systeem: wie in welk graf ligt en wie de rechthebbende van dat graf is. (persoonsgegevens)
- Personeelsysteem: personeelsdata (incl prive-adresen en salarisinformatie)
- Financieel systeem: oa. factuurgegevens van bedrijven en personen die de gemeente betaalt of aan de gemeente betalen
- BI Tools: lijstwerk, dashboards, kaarten (ook als uitvoer naar pdf, excel, etc) Kan persoonsdata bevatten.

En waar mensen werken, mioeten ze soms data uit die systemen in werkbestanden met elkaar combineren of analyseren. (Want papierloos werken is de norm tegenwoordig)

Ook al wordt er veel gevoelige data in databases opgeslagen, en zouden die alleen via een BI tool of de vakapplciatie benaderbaar moeten zijn, dan nog zwerven er veel bestanden buiten die systemen rond.

Als een organisatie haar beveiliging enigzins op orde heeft, dan kan 1 medewerker (excl. systeembeheer) niet bij alle bedrijfsmappen, maar alleen bij zijn werkgebied en/of projecten.

En dan nog kan het aantal GBs snel oplopen.

Doe eens allemaal een testje bij jezelf.

Bij welke (netwerk)schijven, Sharepoint/teams mappen, Onedrive-mappen, etc kun je allemaal komen op je werk of op school?
Ook de mappen waar je wel bij kunt, maar die je nooit bekijkt
En hoeveel GBs of TBs zijn dat bij elkaar.
Waarschijnlijk zul je schrikken.

Reageer met quote

18-03-2026, 10:22 door Anoniem

Door Erik van Straten: En je hebt je personeel niet geleerd om eerst de domeinnaam te checken.

Kun je je redenatie nader toelichten?
Welke aannames doe je hier allemaal?
Wat weet jij wat wij niet weten over deze case?
Of ben je betrokken bij het onderzoek?

Reageer met quote

Vandaag, 01:12 door Anoniem

Dit en de kraak bij Odido is een bewijs dat Internet stuk is.
Als je 50 jaar geleden 800Gb data van Epe wilde stelen, dan moest je met een grote verhuiswagen naar het gemeentehuis rijden en het hele archief leegtrekken. Dat valt op.
Nu is de data in een kwartier gejat zonder dat iemand dat door heeft.

Reageer met quote

Vandaag, 11:54 door Anoniem

Door Anoniem:

Door Erik van Straten:

Deze specifieke aanval was echter slim en nieuw.

Twee leugens in zo'n korte zin...

En je hebt je personeel niet geleerd om eerst de domeinnaam te checken.

Dit soort antwoorden laten zien, waar het mis gaat bij ICT beheerders. Ze kunnen zich niet inleven in hoe gebruikers denken. Maar ICT heeft (denken ze) wel de antwoorden.

Door Anoniem: Dit en de kraak bij Odido is een bewijs dat Internet stuk is.
Als je 50 jaar geleden 800Gb data van Epe wilde stelen, dan moest je met een grote verhuiswagen naar het gemeentehuis rijden en het hele archief leegtrekken. Dat valt op.
Nu is de data in een kwartier gejat zonder dat iemand dat door heeft.

Het heeft helemaal niets met het internet te maken... Het is gewoon de zoveelste conformatie dat mensen de zwakste schakel zijn en dat is al zo voordat het hele internet bestond.

Maar men wil steeds maar niet in die spiegel kijken. Managers gooien liever honderdduizenden euro's tegen een veel te complexe beveiligingsoplossing dan gewoon eens naast een medewerker te gaan zitten en mee te kijken wat mensen eigenlijk doen.

Wat altijd opvalt bij dit soort 'hacks' is dat medewerkers gewoon veel te veel toegang hadden. Hele basale principes zoals data minimalisatie en goede toegangscontrole worden helemaal echt gehandhaafd. Zaken zoals MFA worden maar half doorgevoerd en ze kloppen elkaar op de schouder hoe goed ze wel niet bezig zijn...

Ook nu weer erkend men de bron van het probleem niet, huurt men ja-knikkende security prutsers in die weer nieuwe dure digitale barrières op gaan werpen en dik geld verdienen. Ik heb dit persoonlijk zo vaak gezien bij de overheid en pak er tegenwoordig gewoon een bak popcorn bij. De onkunde is simpelweg zo ongekend en fascinerend...

Reageren

Ondersteunde bbcodes

Bold: [b]bold text[/b]

Italic: [i]italic text[/i]

Underline: [u]underlined text[/u]

Quote: [quote]quoted text[/quote]

URL: [url]https://www.security.nl[/url]

Config: [config]config text[/config]

Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

AI Stemwijzer:

Minister: Nederlandse instanties niet bevoegd om AI-stemhulpen aan te pakken

14-03-2026 door Redactie

Op dit moment zijn er geen Nederlandse instanties bevoegd om op te treden tegen AI-stemhulpen, omdat de benodigde ...

37 reacties

Lees meer

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.

Lees meer

Microsoft moet in Oostenrijk stoppen met tracken van scholier, hoe zit dit in Nederland?

11-03-2026 door Arnoud Engelfriet

Juridische vraag: Onlangs heeft een scholier in Oostenrijk bij zijn nationale toezichthouder (DSB) geklaagd én gelijk gekregen ...

7 reacties

Lees meer

Online datalek-checkers bieden de mogelijkheid te zoeken op gelekte persoonsgegevens. Hebben zij daar wel een grondslag voor?

04-03-2026 door Arnoud Engelfriet

Juridische vraag: Door een hack bij mijn telecomprovider zijn al mijn persoonsgegevens gestolen. Nu zijn er bedrijven die via ...

21 reacties

Lees meer

Zijn advertenties die malware bevatten de verantwoordelijkheid van de website waarop ze staan?

25-02-2026 door Arnoud Engelfriet

Juridische vraag: Ik werd laatst op mijn werk gewaarschuwd voor het risico van malware advertenties en hoe neppe advertenties ...

7 reacties

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Criminelen stelen via ClickFix-aanval 600.000 bestanden van gemeente Epe

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

AI Stemwijzer:

Wachtwoord Vergeten

Password Reset

Registreren