ID-ware, een Duits IT-bedrijf dat onder meer toegangssystemen-en pasjes levert aan de Nederlandse overheid, is slachtoffer geworden van een hack. Daardoor ligt een grote hoeveelheid data van Tweede Kamerleden en rijksambtenaren op straat.
De data kunnen niet alleen gebruikt worden om personen te identificeren bij talloze organisaties, maar ook om de Eerste en Tweede Kamer binnen te komen, schrijft de Volkskrant op basis van eigen onderzoek. Het gaat om behoorlijk gevoelige gegevens, die zouden kunnen worden gebruikt om de toegangscontrole tot het parlement te misbruiken.
Volgens de krant gaat het om persoonlijke gegevens – naam, geboortedatum, pasgegevens – van diverse organisaties, waaronder zich houders van Rijkspassen bevinden. “Onder meer de Politieacademie, ministeries van Justitie en Veiligheid, Defensie, Financiën en Binnenlandse Zaken zijn klant, maar ook Prorail, TNO en Alliander komen in de data voor,” aldus onderzoeksjournalist Huib Modderkolk (1).
ID-ware werd 21 september gehackt, maar het nieuws komt nu pas naar buiten. Het bedrijf zelf zegt dat de systemen snel via een back-up hersteld konden worden, maar dat er ook een grote hoeveelheid data is gestolen en gepubliceerd. Die zijn volgens Modderkolk aangetroffen op het darkweb – dat deel van het internet dat je niet zomaar kunt vinden door te googelen en dat vanwege die onvindbaarheid, veel illegale activiteiten kent.
Staatssecretaris van Digitalisering Alexandra van Huffelen (D66) heeft de Tweede Kamer, vanwege de mogelijk verstrekkende gevolgen, vandaag ingelicht. “De persoonsgegevens die aanwezig zijn bij het bedrijf beperken zich tot de voor productie van de kaart noodzakelijke gegevens: naam, geboortedatum, geslacht, rijkspasnummer en pasfoto. Voor de meeste pasgebruikers zal dit, als toch blijkt dat deze gelekt zijn, een beperkte impact hebben, waarbij met name aan het risico van gebruik bij phishing moet worden gedacht,” schrijft Van Huffelen in de brief aan de Kamer: “Niettemin betreur ik dit incident zeer, evenals de mogelijke gevolgen voor betrokken personen.” (2)
ID-ware heeft aangifte gedaan bij de politie en het datalek gemeld bij de Autoriteit Persoonsgegevens. Met de gelekte informatie kan geen pas worden gefabriceerd die toegang tot gebouwen geeft. Het hiervoor benodigde sleutelmateriaal wordt niet verwerkt bij ID-ware, schrijft Van Huffelen.
Onder experts leidt de gevoelige hack wel tot een aantal vragen. ‘Waarom is deze hack niet veel eerder gemeld door het IT-bedrijf, vraagt bijvoorbeeld cybersecuritydeskundige Rickey Gevers zich af op Twitter.
https://www.volkskrant.nl/nieuws-achtergrond/data-kamerleden-gelekt-door-hack-bij-it-bedrijf-gegevens-toegangspassen-online~b7051db9/
https://www.rijksoverheid.nl/documenten/kamerstukken/2022/10/07/kamerbrief-hack-id-ware
