Informatie over de cyberaanval

Openheid over de chronologie van de gebeurtenissen

Limburg.net wil volledige inzage geven in wat er precies gebeurd is. 

• Op 13/12 stelden we vast dat hackers de systemen van Limburg.net aanvielen. Uit veiligheidsoverwegingen legde Limburg.net zelf haar systemen direct stil. Dankzij goede backups kon Limburg.net haar dienstverlening snel terug opstarten, recyclageparken bleven open, afvalophalingen gingen door. Onderzoek wees inmiddels uit dat de date of entry op 17/11 was.
• Op 19/12 kregen we de eerste indicaties dat er ook bestanden waren gedownload. De forensisch specialisten stelden vast dat het ging om een zeer geavanceerde vorm van hacking. De hackers hadden hun sporen gewist en files geëncrypteerd, met als doel de reconstructie door dataspecialisten te bemoeilijken.
• Op 21/12 stuurde Limburg.net een interne mail naar haar medewerkers met het worst case scenario, met daarin een oplijsting van mogelijke gegevens die waarschijnlijk waren gestolen. Op dat moment was het reconstructie-onderzoek volop bezig. Het was nog niet duidelijk welke files effectief gekopieerd waren.
• Op 11/01 verscheen het bericht van hackersorganisatie Medusa op het dark web met aftelklok, en inzage in wat ze in handen hadden. Vanaf dat moment kon er gerichter worden gezocht.
• Op 15/1 kreeg Limburg.net van de data-experten een gecontroleerde en geverifieerde lijst om mee aan de slag te gaan.
• Tijdens de bijzondere raad van bestuur op 17/01 werd beslist om niet in te gaan op de afpersing.
• Op 19/1 communiceerde Limburg.net over het datalek met de kennis die ze op dat moment had. Het ging om lijsten met naam, adres en rijksregisternummer van referentiepersonen uit 2014 en 2015 en een lijst van personen in schuldbemiddeling.
• Op 20/1 verstreek de deadline van het hackerscollectief. Alle data werden openbaar gemaakt. Snel bleek dat er meer data waren gelekt dan oorspronkelijk was vastgesteld.
   

De grafische voorstelling van de volledige tijdslijn vindt u terug via deze link.

Hoe kan ik op de hoogte blijven van de laatste ontwikkelingen?  

De laatste stand van zaken vindt u altijd terug op deze webpagina. Deze wordt op regelmatige basis up to date gebracht.  

Hoe komt dat jullie niet meteen op de hoogte waren van alle gelekte gegevens en dat er gaandeweg meer gegevens gestolen bleken te zijn? 

Bij de eerste communicatie over een datalek heeft Limburg.net alle informatie gecommuniceerd waarvan we op dat moment op de hoogte waren. Het gaat echter om 383.000 files. Het is een huzarenwerk om al deze files te bekijken. Onze experten zijn alle gestolen mappen blijven bestuderen en kregen zo steeds meer zicht op de omvang van de data die door de criminelen werden ontvreemd. 
 

Hoe komt het dat het zo lang duurde eer Limburg.net wist welke gegevens er precies waren gekopiëerd?

De hackers hadden hun sporen gewist en files geëncrypteerd, met als doel de reconstructie te bemoeilijken. Om na te gaan welke gegevens er gekopiëerd waren, moeten specialisten proberen om de weg die de hackers aflegden te reconstrueren. Dat is een moeilijk en uiterst tijdsrovend proces.    

Welke gegevens werden gelekt? 

Limburg.net kan momenteel geen sluitend antwoord op die vraag geven. Het onderzoek loopt nog maar wat we zeker weten is dat hackers toegang hebben gekregen tot een dataserver met persoonsgegevens van het gezinshoofd uit de jaren 2014 en 2015, waaronder naam, adres en rijksregisternummer. Het betreft hier ongeveer 311.000 personen in specifieke gemeenten binnen het werkgebied van Limburg.net: 

Alken, Beringen, Bocholt, Borgloon, Bree, Diepenbeek, Diest, Genk, Halen, Ham, Hamont-Achel, Hasselt, Hechtel-Eksel, Heers, Herk-de-Stad, Heusden-Zolder, Hoeselt, Houthalen-Helchteren, Kinrooi, Kortessem, Leopoldsburg, Lommel, Lummen, Maaseik, Maasmechelen, Meeuwen-Gruitrode, Neerpelt, Nieuwerkerken, Overpelt, Peer, Riemst, Sint -Truiden, Tessenderlo, Tongeren, Zonhoven. 

Het gaat om de gegevens van het toenmalig gezinshoofd (de referentiepersoon). Gegevens van de andere inwoners zitten niet in deze lijsten.  

Daarnaast kregen de hackers ook toegang tot een lijst met 61 mensen die in schuldbemiddeling zaten. Deze personen werden persoonlijk door ons op de hoogte gebracht over de gelekte gegevens.  

We benadrukken de ernst van deze inbreuk en blijven actief samenwerken met IT-experten, gerechtelijke instanties, het Cyber Response Team van de Vlaamse Overheid, de Gegevensbeschermingsautoriteiten en de gemeenten om deze situatie adequaat en in alle openheid aan te pakken. 

Hoe zijn de hackers binnengedrongen?

Nadat multifactorauthenticatie (MFA, meervoudige verificatie van de gebruiker) in eerste instantie de aanval kon weren, vonden de hackers een weg naar binnen via een andere toegangspoort waar geen MFA van toepassing op was. Daarna hielden ze zich bijna een maand onder de radar om op 13/12/23 pas zich kenbaar te maken.  Bij de eerste tekenen van de cyberaanval heeft Limburg.net meteen alle systemen stilgelegd om verdere impact te vermijden.   De volledige tijdslijn vindt u bovenaan deze Q&A.

Kan ik een nieuw rijksregisternummer aanvragen?

Het Rijksregisternummer is een uniek identificatienummer dat toegekend wordt bij de eerste opname van uw gegevens in het Rijksregister.

Het aanvragen van een nieuw Rijksregisternummer is wettelijk niet toegestaan.
Het Rijksregister bevat, zoals in de media verschenen is, uw geslacht en meestal ook uw geboortedatum en wordt enkel aangepast indien de informatie die er in staat niet langer correct is, bijvoorbeeld omdat u van geslacht wijzigde, of wanneer er een foutief jaartal in de geboortedatum blijkt te staan. In alle andere gevallen is een wijziging van het Rijksregisternummer of een totaal nieuw Rijksregisternummer aanvragen dus geheel uitgesloten.

Wanneer u merkt dat er misbruik wordt gemaakt van uw Rijksregisternummer, kan u  klacht indienen bij de Gegevensbeschermingsautoriteit.  https://www.gegevensbeschermingsautoriteit.be/burger/startpagina

Ik krijg telefoon van een onbekend uit het verre buitenland. Is dit een gevolg van de cyberaanval op Limburg.net?  

Dat is eerder onwaarschijnlijk. Wanneer u een telefoontje krijgt van een onbekend nummer uit een land waar u geen contacten heeft, neemt u best niet op. U kan ook het nummer blokkeren op uw gsm of via uw telecomprovider het nummer laten blokkeren.   

Meer informatie over dit onderwerp, vindt u via onderstaande link van SafeOnWeb.be: 
Ik krijg inkomende oproepen en berichten van een onbekend nummer  (safeonweb.be)
 

Hoe kan ik controleren of er gegevens van mij zijn gelekt?  

Wie concrete privacy-informatie wil opvragen, kan zijn persoonlijke privacy-vraag stellen via onze website, www.limburg.net/meldingen.  Via deze procedure wordt uw identiteit gecontroleerd. 
Deze procedure is nodig zodat wij uw identiteit kunnen verifiëren en zo misbruik kunnen voorkomen. We moeten met andere woorden met zekerheid weten dat u wel degelijk de persoon bent die de aanvraag doet.

Heeft u een algemene vraag over de cyberaanval of een vraag die niet over uw persoonsgegevens gaat, vindt u het antwoord vaak al op deze Q&A-pagina.  Heeft u toch nog vragen, neem dan contact op met onze klantendienst via telefoon 0800 90 720 of via mail info@limburg.net. 

Klik voor uw persoonlijke privacy-vraag hieronder op de knop 'melding indienen'. Vervolgens selecteert u uw gemeente en de categorie ‘Cyberaanval’. 

Had Limburg.net niet beter losgeld betaald? 

De raad van bestuur van Limburg.net besliste om geen afpersingsgeld te betalen en wordt hierin gesteund door het Centrum voor Cyberveiligheid België. In een richtlijn van 24 januari 2024 stellen ze het volgende: 

“Het CCB adviseert om ransomware-betalingen collectief aan te pakken en om het ransomware-bedrijfsmodel te ondermijnen en criminele activiteiten te verstoren. We zullen de afpersende acties van deze cybercriminelen niet tolereren. 

Daarom raden we iedereen ten zeerste af om een ransomware-eis te betalen. Het betalen van losgeld aan ransomware-actoren: 

• Garandeert niet het einde van een incident, of de verwijdering van kwaadaardige software; 

• Moedigt criminelen aan om hun activiteiten voort te zetten en uit te breiden; 

• Voorziet criminele actoren van extra middelen; 

• Garandeert niet dat u uw gegevens terugkrijgt of dat ze niet publiek gemaakt worden.” 

Naar wat is het parket een onderzoek gestart? 

Het parket is een onderzoek gestart naar de hackers verantwoordelijk voor deze cyberaanval. Er zal mogelijk ook een onderzoek starten naar aanleiding van klachten die door betrokken zijn neergelegd.  Uiteraard verlenen wij onze volle medewerking aan dit onderzoek.

De Vlaamse overheid en enkele gemeenten kondigden aan zich burgerlijke partij te stellen of klacht in te dienen tegen Limburg.net. Wat houdt dit in?  

Er loopt momenteel een gerechtelijk onderzoek tegen het hackerscollectief dat de cyberaanval pleegde. Door zich burgerlijke partij te stellen in deit onderzoek, willen betrokken partijen zich op de hoogte houden van het onderzoek.
Limburg.net verleent haar volledige medewerking aan politie en gerecht. Als er een onderzoek wordt opgestart tegen Limburg.net zullen we ook aan dat onderzoek volledige medewerking verlenen.

Waarom heeft Limburg.net geweigerd om te onderhandelen met de criminelen?  

De raad van bestuur van Limburg.net heeft beslist om geen afpersingsgeld te betalen. Dit zou deze vorm van criminaliteit net in stand houden. Ook is er nooit zekerheid dat de gestolen data op geen enkel moment al niet verhandeld zouden zijn. Criminele organisaties zijn per definitie niet ter goeder trouw. 

Waarom is Limburg.net in het bezit van:

een rijksregisternummer  

Een rijksregisternummer is een uniek identificatienummer. Het bestaat uit 11 cijfers waarvan de eerste 6 cijfers de geboortedatum van de kaarthouder aanduiden. Iedereen die is ingeschreven in het Belgisch bevolkingsregister krijgt een rijksregisternummer. Overheden zoals Limburg.net gebruiken een rijksregisternummer om hun dienstverlening op een correcte manier te kunnen uitvoeren, bijvoorbeeld om toegang te verlenen tot het recyclagepark en op een correcte manier de afvalbelasting te kunnen innen op basis van uw persoonlijk gezinssituatie.

documenten rond erfenissen met gegevens van een notarissen

In een erfenis kan een openstaande schuld voorkomen. Mensen kunnen zo'n erfenis weigeren. Dit zijn nodige documenten in de boekhouding.

documenten rond schuldbemiddeling van advocaten

Bij schuldbemiddeling komt het voor dat een advocaat bewindsvoerder is voor de persoon met schuld. Deze documenten worden in kader van het dossier bijgehouden gedurende de nodige termijn.

Mijn gegevens zijn gestolen: wat kan ik doen?

Op de website van SafeOnWeb  https://safeonweb.be/nl/actueel/mijn-gegevens-zijn-gestolen-wat-nu  kan u de meest concrete informatie terugvinden over wat u kan doen wanneer er gegevens van u gestolen zijn.

Deze overheidsorganisatie biedt ook een goede phishing-test aan om uzelf beter te wapenen tegen pogingen om gegevens van u te stelen  https://safeonweb.be/nl/doe-de-phishingtest

Wat zijn de mogelijke gevolgen?  

Als gegevens in handen vallen van personen met slechte bedoelingen zijn de 2 grootste risico's phishing en identiteitsfraude:

• Phishing 
  Het per mail hengelen naar informatie door criminelen wordt phishing genoemd. Via de mail (maar ook via de telefoon of brief) lijken betrouwbare instanties zoals een bank of creditcardmaatschappij te vragen om bijvoorbeeld inloggegevens, creditcardinformatie, pincode of andere persoonlijke informatie. 

• Identiteitsfraude 
  Bij identiteitsfraude maakt iemand misbruik van je persoonlijke gegevens. Onder je naam worden er producten of diensten besteld, uitkeringen of creditcards aangevraagd, betalingen gedaan of bankrekeningen geopend. De fraudeur maakt zich schuldig aan oplichting en diefstal. Dit is strafbaar. Identiteitsfraude kan ernstige gevolgen hebben.

Wat kan ik doen om mezelf te beschermen? 

Aangezien het rijksregisternummer door heel wat instanties gebruikt wordt als identiteitscheck, bestaat de kans dat criminelen dat nummer gebruiken om zich als iemand anders voor te doen (identiteitsfraude). In principe is een rijksregisternummer alleen niet voldoende om verrichtingen of registraties te doen.  Vaak vragen instanties een bevestiging via een eID of itsme of stellen ze extra controlevragen. 
 
Blijf daarom alert als men u vraagt om persoonlijke data door te geven. Zeker als u boodschappen ontvangt van instanties die u niet verwacht. Neem in dat geval eerst contact op met deze instantie om misverstanden te vermijden. 

Als u vermoedt dat u het slachtoffer bent van identiteitsfraude, kan u best aangifte doen bij de politie of via meldpunt.belgie.be. Als u verdachte mails of berichten ziet, stuurt u ze best door naar verdacht@safeonweb.be. 

Op www.Safeonweb.be Vindt u heel wat tips rond cyberveiligheid terug. Deze kan u altijd toepassen en zo de beveiliging van uw gegevens verbeteren, ook als er geen gegevens gestolen zijn. 

Kan ik me ergens laten helpen met vragen over digitale toepassingen en veiligheid?

Bij de Digipunten kan u terecht met al uw digitale vragen. Een online afspraak bij de dokter en ticket boeken voor de trein of betalen met Payconic. In Limburg en Diest zijn er meer dan 80 Digipunten in 31 gemeenten. Het is een plek waar elke inwoner terecht kan, ook met vragen rond digitale beveiliging.

• itsme
• eID installeren en gebruiken
• digitale veiligheid
• mailen
• apps installeren
• gebruik gsm
• attesten online aanvragen
• en veel meer

De locaties van de Digipunten vindt u op  https://digibanken.vlaanderen.be/ en via je gemeente.

Wat als mijn gegevens gebruikt worden en ik het slachtoffer ben van identiteitsfraude of phising?  

Als u vermoedt dat u het slachtoffer bent van identiteitsfraude, kan u best aangifte doen bij de politie of via meldpunt.belgie.be. Als u verdachte mails of berichten ziet, stuurt u ze best door naar verdacht@safeonweb.be . 

Op www.SafeOnWeb.be vindt u heel wat tips rond cyberveiligheid terug. Deze kan u altijd toepassen en zo de beveiliging van uw gegevens verbeteren, ook als er geen gegevens gestolen zijn. 

Op het internet circuleren de gehackte bestanden. Kan ik daar opzoeken of mijn gegevens erbij zitten?

Dat doet u best niet, het kan gevaarlijk zijn om de gehackte bestanden op te slaan op particuliere computers. Bovendien is het strafbaar. Het bezitten, onthullen, verspreiden of gebruikmaken van gestolen gegevens is bij wet verboden.

De hackers hebben alle gestolen data online geplaatst. Heel wat mensen zijn nieuwsgierig naar wat er precies gelekt is en willen de data zelf lezen. Mag dat?  

Neen. Volgens de politie en het parket is dit strafbaar. Er staat een strafmaat op van max. 3 jaar gevangenisstraf en een boete van max. 800.000 euro.  

Gaat Limburg.net aan elk individu van wie gegevens gestolen zijn een overzicht geven van welke gegevens dat precies zijn?   

De Vlaamse Toezichtcommissie adviseerde op 25 januari 2024 Limburg.net om geen kruisanalyses te doen op  de gelekte data met als doel om aan elke burger exact te laten weten welke gegevens er van hem of haar zijn gestolen.  

“De begeleiding van burgers is belangrijker dan de concrete opsomming van de gegevens in de gegevensdiefstal.  Het is de prioriteit om na te gaan wat er gebeurd is. Zo kan, waar nodig, de beveiliging opgeschroefd worden. Het is beter om hier tijd en mensen voor aan te wenden, dan als slachtoffer van een cyberaanval bezig te zijn met het documenteren van gegevens per persoon. De sensibilisering over cyberveiligheid en bewustmaking van de gevaren van digitale identiteitsdiefstal moeten nu collectief opgestart worden, zeker naar kwetsbare doelgroepen.  Limburg.net engageert zich om de gemeentebesturen en alle inwoners van Limburg en Diest hierin te begeleiden. Het is ook een  verantwoordelijkheid van scholen, de media, het middenveld en de overheden in dit land. Het is niet de vraag of, maar wel wanneer en wie het volgende slachtoffer is.  Het is onze plicht als samenleving iedereen hiertegen te wapenen" 

Limburg.net handelt naar de adviezen van de autoriteiten en past zich aan aan nieuwe adviezen in de toekomst.

Waarom stelt Limburg.net een cybersecurity manager aan?

Limburg.net doet dit om de technische en juridische trajecten van de cyberaanval te coördineren en aanbevelingen te laten doen over de verdere versterking van de databeveiliging, Sinds midden februari is EY (Ernst & Young) aan de slag hiervoor bij Limburg.net en zullen alvast 6 maanden de eigen medewerkers bijstaan in het beheer van de gevolgen van de cyberaanval en om onze databeveiliging verder aan te scherpen. Zo kunnen de eigen medewerkers zich verder focussen op hun operationele kerntaken.

Welke maatregelen werden genomen om de getroffen gegevens te beschermen? 

Na de cyberaanval heeft Limburg.net onmiddellijk ingrijpende maatregelen genomen om de bescherming van de getroffen gegevens te waarborgen. Allereerst werden alle systemen onmiddellijk stilgelegd om verdere schade te voorkomen. Onze specialisten voeren een uitgebreid onderzoek uit om de omvang van de inbreuk vast te stellen en te identificeren welke gegevens zijn getroffen. 

Bovendien zijn er in samenwerking met gespecialiseerde beveiligingsbedrijven aanvullende maatregelen genomen om de bestaande veiligheidssystemen verder aan te scherpen. 

Daarnaast heeft Limburg.net de wettelijke procedures gevolgd die genomen moeten worden na een datalek. Zo werden het CERT, de Gegevensbeschermings-autoriteit, de Vlaamse Toezichtscommissie op de hoogte gebracht. Er is klacht neergelegd bij de politie en het parket open een onderzoek naar het criminele netwerk dat hierachter zit.  

We benadrukken de ernst van deze inbreuk en blijven actief samenwerken met IT-experten, gerechtelijke instanties, het Cyber Response Team van de Vlaamse Overheid, de Gegevensbeschermingsautoriteiten en de gemeenten om deze situatie adequaat en in alle openheid aan te pakken. 

Hoe worden de getroffen personen op de hoogte gebracht?  

Sinds de cyberaanval van 13 december heeft Limburg.net niet stilgezeten om in kaart te brengen welke documenten precies van een data-server werden gekopieerd. Dat werk is omslachtig en tijdrovend.
Pas op 11 januari hebben de hebben de criminelen inzicht gegeven in wat ze effectief gestolen hadden. 
Omdat de deadline voor het betalen van het afpersingsgeld afliep op 20 januari besliste Limburg.net om breed te communiceren over de cyberaanval.  

Limburg.net zet extra personeel in om de situatie te evalueren en actie te ondernemen. Mensen waarvan wij op dit moment weten dat er gegevens gestolen zijn, zullen worden op de hoogte gebracht, via regelmatige nieuwsupdates via onze website, en voor specifieke gevallen via een persoonlijke brief.  

Welke maatregelen worden genomen om herhaling van dergelijke incidenten te voorkomen? 

Limburg.net werkt nauw samen met gespecialiseerde beveiligingsbedrijven. Onmiddellijk na de cyberaanval werden extra maatregelen genomen om de al bestaande veiligheidssystemen nog aan te scherpen om zo herhaling van dergelijke incidenten te voorkomen.  

De beveiligingssystemen zijn up to date volgens de huidige standaarden. Het is echter zo dat bedrijven en organisaties, zowel klein als groot, steeds vaker te maken krijgen met cyberaanvallen.  

Moet Limburg.net zich houden aan GDPR-wetgeving? 

Uiteraard houdt Limburg.net zich aan de GDPR (General Data Protection Regulation)-wetgeving.  In deze gegevensdiefstal is Limburg.net samen met de inwoners het slachtoffer van een criminele daad door een internationaal hackerscollectief.   
 

Kan ik inzage krijgen in de persoonsgegevens die Limburg.net over mij verwerkt?

Volgens de Algemene Verordening Gegevensbescherming (AVG of beter bekend onder de Engelse naam: GDPR of General Data Protection Regulation) kan u bepaalde rechten uitoefenen over uw persoonsgegevens (zie artikel 12 AVG e.v.). Zo kan u inzage vragen in uw persoonsgegevens (artikel 15 AVG). Volgens de AVG moeten we u een antwoord bezorgen in principe binnen een maand na ontvangst van uw verzoek. In uitzonderlijke gevallen, zoals deze cyberaanval, wordt die termijn echter verlengd. 

Werden de paswoorden van medewerkers veranderd na de cyberaanval?  

Limburg.net nam meteen alle nodige veiligheidsmaatregelen. Dit betekent ook dat alle paswoorden van alle medewerkers zijn aangepast volgens de nieuwe veiligheidsstandaarden.  

Hoe bepaalt Limburg.net welke data gevoelige data zijn?  

Limburg.net hanteert hiervoor de kwalificatie van ENISA, Het Agentschap van de Europese Unie voor cyberbeveiliging. De Gegevensbeschermingsautoriteit werkt volgens dezelfde methodologie.  Klik hier voor meer info over de richtlijn van ENISA.