Wat is er gebeurd?
Op 13 december 2023 werd Limburg.net, een afvalintercommunale, getroffen door een ernstige cyberaanval waarbij hackers toegang kregen tot persoonlijke gegevens van 292.734 klanten. De gestolen data omvatte rijksregisternummers en bankrekeningnummers. Opvallend is dat er oude rijksregisters uit 2014 en 2015 werden getroffen, maar ook nieuwe gegevens uit 2016 werden gecompromitteerd, vooral van inwoners van Bilzen.
Hoe is het gebeurd?
De aanval werd uitgevoerd door een niet nader genoemde hackersgroep die verouderde servers binnen wist te dringen. Deze verouderde servers bevatten data die kwetsbaar bleek voor diefstal. Het betrof gegevens van personen die zich jaren geleden hadden geregistreerd bij Limburg.net voor afvalbeheer. Ondanks de toegang tot gevoelige gegevens, zoals rijksregisternummers en bankgegevens, is er geen direct losgeld geëist door de criminelen.
Wat was de impact voor het bedrijf?
De cyberaanval trof bijna 300.000 inwoners van Limburg en Diest, van wie 11.332 inwoners van Bilzen specifiek getroffen werden. Hoewel er geen operationele verstoringen waren in de afvalinzameling, veroorzaakte de gegevensdiefstal een grote zorg bij de getroffen burgers. Limburg.net moest hen persoonlijk informeren en werken aan het herstel van vertrouwen. Het bedrijf benadrukte dat het zorgvuldig omging met het analyseren van de gestolen gegevens, in samenwerking met verschillende beveiligingsexperts.
Hoe had dit voorkomen kunnen worden?
De aanval benadrukt het belang van reguliere data-audits en het tijdig opschonen van verouderde gegevens om potentiële beveiligingsrisico’s te minimaliseren. Daarnaast had het implementeren van sterkere encryptie en up-to-date beveiligingsprotocollen kunnen voorkomen dat de oude systemen kwetsbaar waren voor toegang. Limburg.net blijft samenwerken met de bevoegde instanties en is nu meer gericht op het verder versterken van haar cyberbeveiliging.
Deze case toont aan dat zelfs relatief eenvoudige systemen voor bijvoorbeeld afvalbeheer kwetsbaar kunnen zijn als er geen robuuste beveiligingsmaatregelen worden genomen. Organisaties moeten zich bewust zijn van de risico’s van verouderde data en systemen.