Ruim een miljoen wachtwoorden van Belgische internetgebruikers zijn online geplaatst door een hacker die eerder had bekend gemaakt dat hij de gegevens verzamelde uit datalekken de voorbije jaren. Aanvankelijk zou hij de gegevens niet publiek maken, maar dat deed hij uiteindelijk toch. De wachtwoorden zijn - gelukkig voor de gebruikers - grotendeels onleesbaar gemaakt.

Met een simpele zoekopdracht naar het domein @gent.be en @stad.gent zijn de gebruikersnamen en paswoorden van in totaal 463 accounts te vinden. Zelfs van @politie.gent.be zijn de gegevens van 40 accounts te vinden.

Concreet heb ik dan ook volgende vragen:

• Zijn de gebruikers op de hoogte dat hun account-gegevens werden gestolen?
• Is er zicht op in welke mate de gestolen gegevens ook effectief gebruikt worden of werden?
• Hoe is dit kunnen gebeuren? Worden door Stad Gent en/of Digipolis (bijkomende) veiligheidsmaatregelen overwogen?
• Behoort het bijkomend beschermen van de accounts, bijvoorbeeld met een tweede of derde authenticatie zoals in de meeste organisaties, tot de mogelijkheden?

Sami Souguir
Fractievoorzitter

Antwoord:

In verschillende media verschenen op 5 april 2018 artikels over een groot aantal wachtwoorden van o.a. Belgische gebruikers die zomaar te vinden zijn op het internet. Het gaat hier voor alle duidelijkheid niet over een nieuw datalek, maar over een consolidatie van gegevens uit historische datalekken die al meerdere jaren circuleren op het internet.

Wel nieuw is dat deze lijst van 1,4 miljard gehackte accounts gemakkelijk doorzoekbaar is via de website www.gotcha.pw. Je kan dus heel gemakkelijk controleren of jouw e-mailadres of alle e-mailadressen van een specifiek domein (bv. gent.be) voorkomt in een lijst van 1,4 miljard gehackte accounts, wereldwijd.

Waarover gaat het precies?

Om aan te melden op een website op internet, bijvoorbeeld sociale media of een webshop, worden typisch wachtwoorden gebruikt. De voorbije vijftien jaar zijn er tientallen websites - zoals LinkedIn, Adobe, Yahoo en Dropbox, om enkele hele grote te noemen - gehackt. In totaal zijn zo al meer dan 1 miljard logingegevens (gebruikersnaam en wachtwoord) gehackt, die in lijsten circuleren op het internet en die ook doorverkocht worden. Een lijst met gepubliceerde hacks is terug te vinden op Wikipedia.

Belangrijk: De lijsten met gehackte logingegevens die circuleren, zijn geen accounts van Groep Gent die gehackt werden, ook al kan dat zo lijken omdat gebruikers vaak hun e-mailadres hebben opgegeven als gebruikersnaam (bijvoorbeeld 'gebruiker@gent.be’) bij die externe websites.

De hacks waarvan sprake in de media dateren al van enkele jaren terug (LinkedIn: 2012; Adobe: 2013; Dropbox: 2012; Yahoo: 2014). Alle groep-Gent medewerkers hebben sindsdien hun wachtwoord al gewijzigd, wat maakt dat de ICT-systemen van Digipolis volledig veilig zijn.

Welke (bijkomende) veiligheidsmaatregelen worden (reeds) genomen?

Communicatie & bewustwording: alle partners van groep Gent hebben een specifieke communicatie ontvangen met extra duiding en richtlijnen over hoe veilig met wachtwoorden moet worden omgegaan.

• Aanbeveling naar alle medewerkers om ook na te gaan of hun accounts op die externe websites zijn gehackt zijn (zoals o.a. dropbox of LinkedIn) en indien nodig daar ook hun wachtwoord te wijzigen.
• Sinds begin 2018 is er een nieuwe, strengere wachtwoordpolicy van kracht  afgestemd op internationaal erkende standaarden. Deze vereist o.a. het gebruik van een uniek wachtwoord per toepassing (bv. verschillende wachtwoord voor computerlogin, Facebook, Mijn Gent, …) om zo de impact bij een eventuele hack tot die ene toepassing te beperken).
• In 2018 wordt ‘sterke authenticatie’ (naast een wachtwoord ook een tweede factor zoals een sms-code, een gegeneerde code die tijdelijk geldig is, een vingerafdruk, …) geïmplementeerd voor alle medewerkers die verhoogde rechten hebben op kritieke systemen (typisch administrators van servers, applicaties en databases). Hierdoor heeft een hacker niet voldoende aan enkel de gebruikersnaam en het wachtwoord, maar moet hij ook over die extra factor beschikken.
• Digipolis onderzoekt hoe het medewerkers van Groep Gent proactief kan informeren indien hun logingegevens voorkomen in nieuwe, publiekgemaakte hacks.

Martine De Regge
Schepen van Personeelsbeleid, Facility Management en Administratieve Vereenvoudiging