Het lijkt een mop: wat is de makkelijkste manier om een overheidssite te hacken? Nou gewoon, een ambtenaar bellen en om zijn inloggegevens vragen. In Enschede gebeurde dit echt.
Ambtenaren trappen in babbeltruc hackers
Het lijkt een mop: wat is de makkelijkste manier om een overheidssite te hacken? Nou gewoon, een ambtenaar bellen en om zijn inloggegevens…
Niet doorgewinterd
In de door Webwereld uitgeroepen maand ‘Lektober’ werd duidelijk dat de veiligheid van overheidswebsites nogal wat te wensen overlaat. Maar soms hoef je niet eens een doorgewinterde hacker te zijn om bij de informatie te komen die niet publiekelijk toegankelijk hoort te zijn.
Studenten
De redactie van Moi!, het personeelsmagazine van de gemeente Enschede, vroeg zich af hoe veilig het netwerk van de gemeente was en nam de proef op de som. Twee informaticastudenten werden ingezet om ambtenaren op te bellen. Ze stelden zich voor als medewerkers van de helpdesk, die bezig waren een update te installeren om het systeem sneller te maken. Daarvoor hadden ze natuurlijk wel de inloggegevens van de ambtenaren nodig.
Niet gemakkelijk
Niet alle ambtenaren gaven zich zo makkelijk gewonnen. Maar toch waren er binnen een uur twee ambtenaren gevonden die zonder slag of stoot hun wachtwoord en inlognaam aan de studenten gaven, die daarmee vervolgens toegang hadden tot alle mail en bijlagen van de afgelopen anderhalve maand. Een veiliger internet begint bij jezelf, zo luidt de slogan van een overheidscampagne. Maar dat is nog niet bij alle ambtenaren van de gemeente Enschede doorgedrongen.
Reacties: 4
U moet ingelogd zijn om een reactie te kunnen plaatsen.
Ik zou wel graag willen weten van waaruit deze 'nep' ICT-ers belden. Was dit vanuit een intern nummer van het gemeentehuis aangezien dit in opdracht van het personeelsmagazine is uitgevoerd? Of is gebeld vanuit een extern nummer?
Als dit eerste het geval is kan ik me voorstellen dat mensen te goeder trouw deze gegevens aan ICT collega's afgeven en is dit artikel naar mijn mening wel misleidend.
Is vanuit een extern nummer gebeld (bij de meeste gemeenten is dit wel te herkennen) dan zou dit niet mogen gebeuren.
Bij een interne telefoontje zou je te goeder trouw inderdaad je inloggegevens kunnen geven, inclusief je wachtwoord. Alleen is het in Enschede niet gebruikelijk dat er om je wachtwoord gevraagd wordt, alleen om je inlognaam, zodat er meegekeken kan worden. Dus moet je toch alert blijven op dit soort verzoekjes!
hoe fris zijn deze "studenten" te werk gegaan.is er medewerking geweest van de helpdesk medewerkers.
wie zijn op de hoogte geweest van deze handelingen.
is het systeem zo gemakkelijk te volgen.
is het tel. nr te achterhalen.
Tja zo zie je maar. NOOIT je wachtwoord aan iemand geven, deze is niet voor niets persoonlijk !