Info over cyberaanval

Op 13 december 2023 kreeg Limburg.net te maken met een cyberaanval. 

Op deze pagina kan u antwoorden terugvinden op vaak gestelde vragen hierover. Deze pagina wordt aangepast bij nieuwe inzichten of wanneer we, via onze klantendienst, merken dat bepaalde vragen toegevoegd moeten worden.

Een overzicht van de feiten

Openheid over de chronologie van de gebeurtenissen

Limburg.net wil volledige inzage geven in wat er precies gebeurd is. Een volledige tijdslijn is daarom terug te vinden via deze link .

 

Hoe komt dat jullie niet meteen op de hoogte waren van alle gelekte gegevens en dat er gaandeweg meer gegevens gestolen bleken te zijn?

Sinds het incident werd vastgesteld heeft Limburg.net steeds gecommuniceerd over de informatie die op dat moment beschikbaar was. Over ieder bijkomend aspect van het incident werden steeds alle rechtstreeks betrokkenen en de toezichthoudende autoriteit op de hoogte gebracht. Bij de cyberaanval bleken in totaal echter 383.000 files gestolen. Het is uiteraard erg riskant om op gehackte data-analyses uit te voeren.  Daarom werd in samenwerking met cybersecurity-experten en in overeenstemming met de richtlijnen van bevoegde overheidsinstanties onderzocht hoe we op een veilige manier in kaart konden brengen welke gegevens er nog meer betrokken waren in dit datalek. 

Hoe komt het dat het zo lang duurde vooraleer Limburg.net wist welke bestanden er precies waren gekopiëerd?


De analyse van de gestolen gegevens is complex en neemt tijd in beslag: er mogen geen bijkomende privacy-risico’s ontstaan tijdens de analyse zelf, de oefening moet gebeuren op een veilige, niet-besmette dataset, met minimaal datatransport over servers en landsgrenzen heen en juridisch correct verlopen.  Om die reden wordt voorafgaandelijk een wettelijk verplichte risico-analyse of gegevensbeschermingseffect-beoordeling (ook DPIA, Data Protection Impact Assessment genoemd) opgesteld in overleg met De Vlaamse Toezichtscommissie. Dit document kan pas worden opgesteld na een grondig vooronderzoek en legt de aanpak voor de eigenlijke data-analyse vast. Het uiteindelijke doel is om iedereen te informeren van wie eerder onbekend was dat hun gegevens betrokken waren bij het datalek, als onderdeel van de definitieve analyse en laatste kennisgeving.

Via deze link kan je lezen hoe we precies zijn te werk gegaan.

Waarom gingen jullie niet meteen in de backup kijken naar wat erin stond?

In het geval van een cyberaanval is het belangrijk om zeker te zijn dat er gewerkt wordt op een veilige, niet-gecompromitteerde dataset.  Meteen in de data duiken zonder grondige analyse zou bijkomende veiligheidsrisico’s met zich meebrengen. Daarnaast wouden we zeker geen extra risico’s creëren door het uitvoeren van de analyse. Dit hield in dat we extensief overleg hebben gepleegd met relevante experten en overheidsinstanties om er zeker van te zijn dat we een adequate en veilige oplossing zouden selecteren. 

Klik hier voor een volledig overzicht van hoe dit in zijn werk ging.

Is deze analyse volledig? Weten jullie nu met zekerheid dat er geen andere data werden gelekt?

Na afstemming met de Vlaamse Toezichtscommissie en adviezen van verschillende data-experten is besloten dat de analyse hier wordt afgerond. Limburg.net zal alle betrokken personen persoonlijk op de hoogte brengen. Op advies van de bevoegde overheidsinstanties is het belangrijker om naar de toekomst te kijken en maximaal in te zetten op preventie en risicobeheer, dan om een tot in het detail volledig overzicht na te streven Daarom zet Limburg.net zich ook in om de bevolking te sensibiliseren over cyberveiligheid. Limburg.net verwijst door naar SafeOnWeb, een Belgische overheidswebsite die is opgericht door het Centrum voor Cybersecurity België (CCB) om burgers en bedrijven te informeren over digitale veiligheid en hen te helpen beschermen tegen cyberdreigingen. Daarnaast geeft Safeonweb tips en adviezen over hoe je jezelf en je gegevens kunt beveiligen, en biedt het een platform waar mensen verdachte e-mails en andere online activiteiten kunnen melden

Zijn er bij jullie al gevallen van fraude bekend die te linken zijn aan dit datalek?

Limburg.net heeft geen weet van fraudegevallen die rechtstreeks gelinkt zijn aan deze specifieke cyberaanval.

Concrete vragen over de cyberhack bij Limburg.net

Welke gegevens werden gestolen? 

In januari was al bekend dat de hackers toegang hadden gekregen tot een dataserver met persoonsgegevens van het gezinshoofd uit de jaren 2014 en 2015, waaronder naam, adres en rijksregisternummer. Het betreft hier ongeveer 279.000 personen in specifieke gemeenten binnen het werkgebied van Limburg.net: Alken, Beringen, Bocholt, Borgloon, Bree, Diepenbeek, Diest, Genk, Halen, Ham, Hamont-Achel, Hasselt, Hechtel-Eksel, Heers, Herk-de-Stad, Heusden-Zolder, Hoeselt, Houthalen-Helchteren, Kinrooi, Kortessem, Leopoldsburg, Lommel, Lummen, Maaseik, Maasmechelen, Meeuwen-Gruitrode, Neerpelt, Nieuwerkerken, Overpelt, Peer, Riemst, Sint -Truiden, Tessenderlo, Tongeren, Zonhoven. 

Het gaat om de gegevens van het toenmalig gezinshoofd (de referentiepersoon). Gegevens van de andere leden van het gezin zitten niet in deze lijsten.  
De hackers kregen ook toegang tot een lijst met 61 mensen die in schuldbemiddeling zaten. Deze personen werden in januari 2024 persoonlijk door ons op de hoogte gebracht over de gelekte gegevens.  

Na een grondige en zorgvuldige data-analyse die op 25 juni 2024 werd gefinaliseerd,  is er duidelijkheid over de totale omvang van de gegevensdiefstal. Naast voornoemde gegevens, blijkt nu dat er ook bankrekeningnummers en rijksregisternummers uit andere jaren gestolen werden.
In totaal gaat het om 292.734 personen.  Alle betrokken personen worden persoonlijk verwittigd via brief. Personen die geen brief ontvangen zijn niet getroffen.
We zijn bewust van de ernst van dit incident en blijven actief samenwerken met data- en IT-experten, gerechtelijke instanties, het Cyber Response Team van de Vlaamse Overheid, de Gegevensbeschermingsautoriteiten en de gemeenten om deze situatie adequaat en in alle openheid aan te pakken. 

 

Hoe zijn de hackers binnengedrongen?

Nadat multifactorauthenticatie (MFA, meervoudige verificatie van de gebruiker) in eerste instantie de aanval kon weren, vonden de hackers een weg naar binnen via een andere toegangspoort waar geen MFA van toepassing op was. Daarna hielden ze zich bijna een maand onder de radar om op 13/12/23 pas zich kenbaar te maken.  Bij de eerste tekenen van de cyberaanval heeft Limburg.net meteen alle systemen stilgelegd om verdere impact te vermijden.  

De volledige tijdslijn vind je via deze link.

Had Limburg.net niet beter losgeld betaald? 

De raad van bestuur van Limburg.net besliste om geen afpersingsgeld te betalen en wordt hierin gesteund door het Centrum voor Cyberveiligheid België. In een richtlijn van 24 januari 2024 stellen ze het volgende: 

“Het CCB adviseert om ransomware-betalingen collectief aan te pakken en om het ransomware-bedrijfsmodel te ondermijnen en criminele activiteiten te verstoren. We zullen de afpersende acties van deze cybercriminelen niet tolereren. 

Daarom raden we iedereen ten zeerste af om een ransomware-eis te betalen. Het betalen van losgeld aan ransomware-actoren: 

  • Garandeert niet het einde van een incident, of de verwijdering van kwaadaardige software; 
  • Moedigt criminelen aan om hun activiteiten voort te zetten en uit te breiden; 
  • Voorziet criminele actoren van extra middelen; 

Garandeert niet dat u uw gegevens terugkrijgt

Naar wat is het parket een onderzoek gestart? 

Het parket is een onderzoek gestart naar de hackers die verantwoordelijk zijn voor deze cyberaanval. Er zal mogelijk ook een onderzoek starten naar aanleiding van klachten die door betrokken zijn neergelegd.  Uiteraard verlenen wij onze volle medewerking aan dit onderzoek.

De Vlaamse overheid en enkele gemeenten kondigden aan zich burgerlijke partij te stellen of klacht in te dienen tegen Limburg.net. Wat houdt dit in?  

Er loopt momenteel een gerechtelijk onderzoek tegen het hackerscollectief dat de cyberaanval pleegde. Door zich burgerlijke partij te stellen in dit onderzoek, willen betrokken partijen zich op de hoogte houden van het onderzoek. Limburg.net verleent haar volledige medewerking aan politie en gerecht. Als er een onderzoek wordt opgestart tegen Limburg.net zullen we ook aan dat onderzoek volledige medewerking verlenen.

Ook Limburg.net heeft op 4 april 2024 zelf ook burgerlijke partij gesteld in het onderzoek naar de hackers en de gegevensdiefstal.

Waarom is Limburg.net in het bezit van: 

een rijksregisternummer  

Een rijksregisternummer is een uniek identificatienummer. Het bestaat uit 11 cijfers waarvan de eerste 6 cijfers de geboortedatum van de kaarthouder aanduiden. Iedereen die is ingeschreven in het Belgisch bevolkingsregister krijgt een rijksregisternummer. Overheden zoals Limburg.net gebruiken een rijksregisternummer om hun dienstverlening op een correcte manier te kunnen uitvoeren, bijvoorbeeld om toegang te verlenen tot het recyclagepark en op een correcte manier de afvalbelasting te kunnen innen op basis van uw persoonlijk gezinssituatie.

documenten rond erfenissen met gegevens van een notaris

In een erfenis kan een openstaande schuld voorkomen. Mensen kunnen zo'n erfenis weigeren. Dit zijn noodzakelijke documenten in de boekhouding.

documenten rond schuldbemiddeling van advocaten

Bij schuldbemiddeling komt het voor dat een advocaat bewindsvoerder is voor de persoon met schuld. Deze documenten worden in kader van het dossier bijgehouden gedurende de wettelijke termijn.

een bankrekeningnummer

Limburg.net benadrukt dat de hackers geen toegang hebben gehad tot hun betalingssystemen. Limburg.net is in het bezit van bankrekeningnummers omdat zij verplicht zijn om bepaalde boekhoudkundige stukken bij te houden, zoals schuldvorderingen of afbetalingsdocumenten. Daarnaast is het mogelijk dat hackers bankrekeningnummers hebben kunnen bemachtigen via e-mailverkeer waarin personen hun rekeningnummer hebben vermeld.

Wat zijn de gevolgen van een gegevensdiefstal?

Wat zijn de mogelijke gevolgen?  

Als gegevens in handen vallen van personen met slechte bedoelingen zijn de 2 grootste risico's phishing en identiteitsfraude:

  • Phishing 
    Het per mail (maar ook via de telefoon of brief) hengelen naar informatie door criminelen wordt phishing genoemd. Via de mail (maar ook via de telefoon of brief) lijken betrouwbare instanties zoals een bank of creditcardmaatschappij te vragen om bijvoorbeeld inloggegevens, creditcardinformatie, pincode of andere persoonlijke informatie. 
  • Identiteitsfraude 
    Bij identiteitsfraude maakt iemand misbruik van je persoonlijke gegevens. Onder je naam worden er producten of diensten besteld, uitkeringen of creditcards aangevraagd, betalingen gedaan of bankrekeningen geopend. De fraudeur maakt zich schuldig aan oplichting en diefstal. Dit is strafbaar. Identiteitsfraude kan ernstige gevolgen hebben.digibanken

Wat kan ik zelf doen?

Hoe kan ik op de hoogte blijven van de laatste ontwikkelingen?  

De laatste stand van zaken vind je altijd terug op deze webpagina. Deze wordt op regelmatige basis up-to-date gebracht.  

Mijn gegevens zijn gestolen: wat kan ik doen?

Aangezien het rijksregisternummer[EH1]  door heel wat instanties gebruikt wordt als identiteitscheck, bestaat de kans dat criminelen dat nummer proberen te gebruiken om zich als iemand anders voor te doen (identiteitsfraude). In principe is een rijksregisternummer alleen niet voldoende om verrichtingen of registraties te doen.  Vaak vragen instanties een bevestiging via een eID of itsme of stellen ze extra controlevragen. 
 
Blijf daarom alert als men je vraagt om persoonlijke data door te geven. Zeker als je boodschappen ontvangt van instanties die je niet verwacht. Neem in dat geval eerst contact op met deze instantie om misverstanden te vermijden. 

Op de website van SafeOnWeb  https://safeonweb.be/nl/actueel/mijn-gegevens-zijn-gestolen-wat-nu  kan je de meest concrete informatie terugvinden over wat je kan doen wanneer er gegevens van je gestolen zijn.

Deze overheidsorganisatie biedt ook een goede phishing-test aan om jezelf beter te wapenen tegen pogingen om gegevens van jou te stelen  https://safeonweb.be/nl/doe-de-phishingtest

sow

 

Wat moet ik doen als ik vermoed dat ik slachtoffer ben van identiteitsfraude of phishing? 

Als je vermoedt dat je het slachtoffer bent van identiteitsfraude, kan je best aangifte doen bij de politie of via meldpunt.belgie.be. Als je verdachte mails of berichten ziet, stuur je ze best door naar verdacht@safeonweb.be. 

Op www.Safeonweb.be vind je heel wat tips rond cyberveiligheid terug. Deze kan u altijd toepassen en zo de beveiliging van jouw gegevens verbeteren, ook als er geen gegevens gestolen zijn. 

Kan ik me ergens laten helpen met vragen over digitale toepassingen en veiligheid?

Bij de Digipunten kan je terecht met al jouw digitale vragen. In Limburg en Diest zijn er meer dan 80 Digipunten in 31 gemeenten. Het is een plek waar elke inwoner terecht kan, ook met vragen rond digitale beveiliging.

  • itsme
  • eID installeren en gebruiken
  • digitale veiligheid
  • mailen
  • apps installeren
  • gebruik gsm
  • attesten online aanvragen
  • en veel meer

De locaties van de Digipunten vind je op  https://digibanken.vlaanderen.be/ en via je gemeente.

Hoe kan ik controleren of er gegevens van mij zijn gelekt?  

Indien er gegevens van jou zijn gestolen, ontvang je een persoonlijke brief.

Heb je een algemene vraag over de cyberaanval of een vraag die niet over jouw persoonsgegevens gaat, vind je het antwoord vaak al op deze Q&A-pagina.  Heb jij toch nog vragen, neem dan contact op met onze klantendienst via telefoon 0800 90 720 of via mail privacy@limburg.net. 

Kan ik een nieuw rijksregisternummer aanvragen?

Het Rijksregisternummer is een uniek identificatienummer dat toegekend wordt bij de eerste opname van jouw gegevens in het Rijksregister.

Het aanvragen van een nieuw Rijksregisternummer is wettelijk niet toegestaan.
Het Rijksregister bevat jouw geslacht en meestal ook jouw geboortedatum en wordt enkel aangepast indien de informatie die er in staat niet langer correct is, bijvoorbeeld omdat je van geslacht veranderde, of wanneer er een foutief jaartal in de geboortedatum blijkt te staan. In alle andere gevallen is een wijziging van het Rijksregisternummer of een totaal nieuw Rijksregisternummer aanvragen dus geheel uitgesloten.

Wanneer je merkt dat er misbruik wordt gemaakt van uw Rijksregisternummer, kan je klacht indienen bij de Gegevensbeschermingsautoriteit.  https://www.gegevensbeschermingsautoriteit.be/burger/startpagina

Kan ik een nieuw bankrekeningnummer aanvragen?

Het is mogelijk om een nieuwe bankrekening te openen bij jouw bank. Of dat de beste beslissing is, is een afweging die iedereen voor zichzelf moet maken.

Hoewel het niet mogelijk is om enkel met  een rekeningnummer geld van iemands rekening te halen zonder aanvullende beveiligingsstappen zoals een wachtwoord of beveiligingscode, is het raadzaam alert te blijven. Fraudeurs kunnen met persoonlijke gegevens die ze van burgers hebben, hun vertrouwen proberen te winnen en hen te overtuigen om extra gegevens (zoals een pincode of wachtwoorden) door te geven of om geld over te schrijven op een rekening.

Op www.Safeonweb.be staan heel wat tips rond cyberveiligheid. Limburg.net raadt iedereen aan deze tips toe te passen en zo de beveiliging van persoonlijke gegevens te verbeteren, ook wanneer er geen gegevens gestolen zijn. 

Kan ik opvragen over welke persoonlijke gegevens Limburg.net beschikt?

In de privacyverklaring op onze website kan je nalezen welke persoonsgegevens van burgers verwerkt worden door Limburg.net.  Deze kan je raadplegen via www.limburg.net/privacy of via de link onderaan elke webpagina.

Heb je een algemene vraag over de cyberaanval of een vraag die niet over uw persoonsgegevens gaat, vindt u het antwoord vaak al op deze Q&A-pagina.  Heb jij toch nog vragen, kan u contact opnemen via privcacy@limburg.net..

Afhankelijk van uw type vraag zal u mogelijk gevraagd worden een identiteitscheck te doorlopen via het geverifieerde mijnlimburg.net-profiel. Deze procedure is nodig zodat wij jouw identiteit kunnen verifiëren en zo misbruik kunnen voorkomen. We moeten met andere woorden met zekerheid weten dat je wel degelijk de persoon bent die de aanvraag doet.

Op het internet circuleren de gehackte bestanden. Kan ik daar opzoeken of mijn gegevens erbij zitten?

Dat doet je best niet, het kan gevaarlijk zijn om de gehackte bestanden op te slaan op particuliere computers. Bovendien is het strafbaar. Het bezitten, onthullen, verspreiden of gebruikmaken van gestolen gegevens is bij wet verboden. Er staat een strafmaat op van max. 3 jaar gevangenisstraf en een boete van max. 800.000 euro.  

Ik krijg telefoon van een onbekend uit het verre buitenland. Is dit een gevolg van de cyberaanval op Limburg.net?  

Dat is eerder onwaarschijnlijk. Wanneer je een telefoontje krijgt van een onbekend nummer uit een land waar je geen contacten heeft, neem je best niet op. je kan ook het nummer blokkeren op jouw gsm of via jouw telecomprovider het nummer laten blokkeren.   

Meer informatie over dit onderwerp, vind je via onderstaande link van Safeonweb: Ik krijg inkomende oproepen en berichten van een onbekend nummer  (safeonweb.be)

Hoe pakt Limburg.net de gevolgen van de hacking aan?

Gaat Limburg.net aan elk individu van wie gegevens gestolen zijn een overzicht geven van welke gegevens dat precies zijn?   

Limburg.net stuurt alle betrokken personen een persoonlijke brief. Personen die geen brief ontvangen zijn niet getroffen.

Waarom stelde Limburg.net een cybersecurity manager aan?

Limburg.net deed dit om de technische en juridische trajecten van de cyberaanval te coördineren en aanbevelingen te laten doen over de verdere versterking van de databeveiliging, Sinds midden februari is EY (Ernst & Young) aan de slag hiervoor bij Limburg.net. EY staat de eigen medewerkers bij in het beheer van de gevolgen van de cyberaanval en om onze databeveiliging verder aan te scherpen.

Welke maatregelen werden genomen om de getroffen gegevens te beschermen? 

Na de cyberaanval heeft Limburg.net onmiddellijk ingrijpende maatregelen genomen om de bescherming van de getroffen gegevens te waarborgen. Allereerst werden alle systemen onmiddellijk stilgelegd om verdere schade te voorkomen. Onze specialisten voeren een uitgebreid onderzoek uit om de omvang van de inbreuk vast te stellen en identificeerden in grote mate welke gegevens werden getroffen. 

Bovendien zijn er sindsdien in samenwerking met gespecialiseerde beveiligingsbedrijven aanvullende maatregelen genomen om de bestaande veiligheidssystemen verder aan te scherpen. 

Daarnaast heeft Limburg.net de wettelijke procedures gevolgd die in acht genomen moeten worden in het geval van een datalek. Zo werden het CERT, de Gegevensbeschermings-autoriteit, de Vlaamse Toezichtscommissie op de hoogte gebracht. Er is klacht neergelegd bij de politie en het parket open een onderzoek naar het criminele netwerk dat hierachter zit.  

We benadrukken de ernst van deze inbreuk en blijven actief samenwerken met IT-experten, gerechtelijke instanties, het Cyber Response Team van de Vlaamse Overheid, de Gegevensbeschermingsautoriteiten en de gemeenten om deze situatie adequaat en in alle openheid aan te pakken. 

Welke maatregelen worden genomen om herhaling van dergelijke incidenten te voorkomen? 

Limburg.net werkt nauw samen met gespecialiseerde beveiligingsbedrijven. Onmiddellijk na de cyberaanval werden extra maatregelen genomen om de al bestaande veiligheidssystemen nog aan te scherpen om zo herhaling van dergelijke incidenten te voorkomen.  

De beveiligingssystemen zijn up-to-date volgens de huidige standaarden. Het is echter zo dat bedrijven en organisaties, zowel klein als groot, steeds vaker te maken krijgen met cyberaanvallen.  

Waarom moest ik mijn paswoord op mijn.limburg.net-account aanpassen? 

Om de cyberveiligheid te verhogen, vroegen wij je een nieuw, sterk wachtwoord te kiezen voor je mijn.limburg.net-account. Je verandert best regelmatig je paswoord en gebruikt best niet hetzelfde paswoord voor verschillende toepassingen (webshops en dergelijke).

Bij SafeOnWeb vind je heel wat tips terug over hoe je een sterk paswoord aanmaakt en hoe je slimmer kan omgaan met online accounts.
Bescherm je accounts | safeonweb.be

Moet Limburg.net zich houden aan AVG-wetgeving? 

Uiteraard houdt Limburg.net zich aan de Algemene Verordening Gegevensbescherming (AVG of beter bekend onder de Engelse naam: GDPR of General Data Protection Regulation). In deze gegevensdiefstal is Limburg.net samen met de inwoners het slachtoffer van een criminele daad door een internationaal hackerscollectief.   

Geeft Limburg.net inzage in de persoonsgegevens waarover ze als afvalintercommunale beschikt?

Ja. Volgens de Algemene Verordening Gegevensbescherming (AVG of beter bekend onder de Engelse naam: GDPR of General Data Protection Regulation) kan je bepaalde rechten uitoefenen over jouw persoonsgegevens. 

Je recht op informatie kan je uitoefenen door kennis te nemen van onze privacyverklaring.
Deze privacyverklaring beschrijft o.a. welke gegevens Limburg.net verwerkt voor welke doeleinden. In de privacyverklaring lees je ook welke rechten je kan uitoefenen over je persoonsgegevens en hoe je deze rechten kan uitoefenen.

Hoe bepaalt Limburg.net welke data gevoelige data zijn?  

Limburg.net hanteert hiervoor de kwalificatie van ENISA, Het Agentschap van de Europese Unie voor cyberbeveiliging. De Gegevensbeschermingsautoriteit werkt volgens dezelfde methodologie.  Klik hier voor meer info over de richtlijn van ENISA.


 

Heeft u na het lezen van deze Q&A nog bijkomende vragen over de cyberaanval, neem dan contact op met onze klantendienst via telefoon 0800 90 720 of via mail privacy@limburg.net