In totaal zijn er ongeveer honderdvijftigduizend frauduleuze e-mails verstuurd bij het incident waarbij de stad Antwerpen phishingmails verzond. Maar er is geen sprake van een ernstige inbreuk of datadiefstal.
Vorige week stuurde het mailadres support@antwerpen.be plots verdachte mails uit. Alles wees op een gehackt account van waaruit phishingmails werden verstuurd, die moesten ontvangers wijsmaken dat hun MetaMask wallet (een cryto portefeuille) was geblokkeerd.
De stad Antwerpen bevestigde het incident, maar beweerde dat het mailadres niet van de stad Antwerpen was en dat het probleem bij een externe partner lag. Vragen over het aantal uitgestuurde mails of de beveiliging van de accounts werden niet beantwoord.
Op de Antwerpse gemeenteraad kwam er maandagavond wel meer uitleg. Een mondelinge vraag van gemeenteraadslid Niel Staes (Groen) aan Schepen voor onder meer Marketing en Digitalisering Erica Caluwaerts (onafhankelijk) bracht aan het licht dat er op één uur tijd ongeveer 150.0000 mails werden uitgestuurd.
Dat kon door een gehackt gebruikersaccount van een medewerker van de stad bij de mailingtool Createsend van Campaign Monitor. Vervolgens werd er een volledig nieuw adres (support@antwerpen.be) aangemaakt van waaruit de hacker mails verstuurde.
‘Die tool wordt gebruikt om mailingcampagnes van de stad te voeren. Op basis van die hack is een nieuw adres, support@antwerpen.be, gecreëerd van waaruit een honderdvijftigduizendtal mails zijn uitgestuurd vanuit een bestand van de agressor, dus niet vanuit ons mailingbestand,’ aldus schepen Caluwaerts in haar antwoord.
Geen dataverlies
Een belangrijk detail daarbij is dat de IT-infrastructuur van de stad niet werd getroffen. De overgenomen account bij de mailingtool stond los van de interne systemen en had geen toegang tot de volledige campagnetool. De hacker gebruikte geen mailinglijsten of andere data van de stad. De meeste mails zouden naar Amerikaanse ontvangers zijn gestuurd.
‘De hackers konden niet in de volledige omgeving van de Campaign Monitor, maar enkel in de specifieke subaccount van één gebruiker,’ zegt Caluwaerts.
Omdat er om die reden geen sprake is van een datalek, werd er door de DPO van de stad Antwerpen geen melding gedaan bij de Gegevensbeschermingsautoriteit of de Vlaamse Toezichtscommissie.
Geen tweestapsverificatie
De gehackte account stond los van de ICT-infrastructuur van de stad, maar had wel de mogelijkheid om nieuwe mailadressen namens Antwerpen aan te maken. Ook was er geen multi factor authentication (MFA) op de accounts van de mailingtool ingeschakeld. Dat is intussen wel aangepast voor alle gebruikers.
Voor Niel Staes, dat de vragen stelde aan schepen Caluwaerts, is het antwoord van de stad duidelijk ‘Maar het blijft wel frappant dat we twee jaar na een zware cyberaanval nog steeds accounts hebben zonder multi-factor authentication. Zodra je het wachtwoord kan raden ben je dan binnen.’
Fout opgemerkt of meer nieuws? Meld het hier