Beheer

IT beheer
admin

Rioolhack gepleegd via admin- en testaccounts

Ontslagen werknemer was eigen account wel kwijt, maar had toch nog toegang.

© Pixabay Public Domain CC0,  Thomas Breher
14 september 2018

Ontslagen werknemer was eigen account wel kwijt, maar had toch nog toegang.

De gemeente Lopik heeft na het ontslag van zijn rioolbeheerder het account van die fraudeverdachte ambtenaar geblokkeerd. Maar inlogcredentials voor andere accounts blijken ongewijzigd. Zo heeft de nu veroordeelde man zich acht keer toegang verschaft tot de rioolinstallatie en bijbehorende computeromgeving. Data is gewist, afsluiters zijn dichtgezet en pompen zijn aangezet.

De digitale inbraken zijn in november vorig jaar en januari dit jaar gepleegd. De nu tot een taakstraf veroordeelde ex-werknemer van de gemeente heeft ingelogd op beheerders- en testaccounts, maar ook op het account van een monteur. Deze man werkte al bij de gemeente Lopik toen de latere rioolhacker daar nog in dienst was.

Ook inlogbeheerder

Als rioolbeheerder heeft de man, die wegens fraude is ontslagen, alle monteurs bij de gemeente voorzien van inloggegevens voor het gebruikte programma Aquaview. De ex-ambtenaar heeft in de rechtszaak ook verklaard dat de gebruikersnamen en wachtwoorden niet om de zoveel tijd hoefden te worden gewijzigd.

Toch heeft hij in zijn verdediging gesteld dat hij niet degene was die heeft ingelogd. Dat moest iemand anders zijn geweest, aldus de verdachte. De rechtbank gelooft dit niet, mede op basis van de gebruikte IP-adressen waarvandaan is ingelogd. Dit waren IP-adressen van de man zelf, en van zijn ouders.

Briefje gevonden, laptop niet

Hierbij is ook de mobiele telefoon van de ontslagen rioolbeheerder getraceerd naar zendmasten en daarmee nabijheid bij de gemeentelaptop die zou zijn gebruikt voor het inloggen. “Daarnaast is in de woning van de man een briefje gevonden met gebruikersnamen en wachtwoorden waarmee is ingelogd”, valt te lezen in het nieuwsbericht van de rechtbank.

De laptop in kwestie is één van de twee die de gemeente had met een data-abonnement van Vodafone, bedoeld voor gebruik van Aquaview. Één van deze laptops bleek vermist, maar is tussen september 2017 en februari 2018 wel telkens enkele dagen per maand is gebruikt. Dit blijkt uit historische verkeersgegevens van de mobiele data-aansluiting van de vermiste laptop, specificeert het vonnis.

Deze gemeentecomputer is nooit bij de ontslagen rioolbeheerder aangetroffen en staat nog altijd te boek als vermist. Daarmee is ook op afstand toegang verkregen tot een server voor de werking en administratie van het riool. Deze inlog is gepleegd via TeamViewer en Remote Desktop Protocol (RDP).

Rioolsabotage

Zo zijn op de server en in het Aquaview-systeem zo’n 8000 bestanden gewist, ook uit back-ups. Deze data omvatte programma’s van Aquaview zelf waardoor die software niet meer viel te gebruiken om de gemeentelijke rioolinstallatie correct aan te sturen. Dit heeft enige tijd geduurd.

“Een paar maanden later heeft verdachte via datzelfde programma rioolafsluiters dichtgezet en rioleringspompen aangezet”, vermeldt het vonnis. De daaropvolgende storingsmelding is door de dader weggeklikt, waardoor de rioolsabotage doorgang kon vinden. Een oplettende monteur heeft schade voorkomen, maar deze had groot kunnen zijn.

In een verslag aan de politie heeft een monteur van de gemeente gesteld dat de pompen oververhit konden raken en stuk gaan of brand vatten. Als gevolg daarvan zouden rioolleidingen zelfs kunnen imploderen. “Gevolg daarvan is weer dat de pompen vervangen moeten worden. Bij brand zouden de aansturing en hardware vervangen moeten worden en bij het imploderen van leidingen moeten deze opnieuw worden aangelegd.”

Handmatig langslopen met zuigwagen

“Tot die tijd moeten alle putten handmatig worden langsgelopen met een zuigwagen om de leidingen van de bewoners te kunnen afvoeren. De leidingen lopen vol en bewoners en bedrijven kunnen hiervan overlast ondervinden”, aldus de verklaring van een monteur. Tegen de voormalige rioolbeheerder, die nu een taakstraf van 240 uur heeft gekregen, loopt nog een fraudezaak wat reden voor zijn ontslag was.

Lees meer over Beheer OP AG Intelligence
1
Reacties
bnoniem 22 september 2018 14:32

Ook uit backups is de data gewist? dat vind ik sterk. dat het niet in de backup zit kan ik mij voorstellen als het al een poosje geleden is gebeurd. maar gemist! niet goed ingeregeld zeker.
wel stom dat de gast niets van vpn wist to hide his ass.
nog stommer is dat er niet gebruik werd gemaakt van inlog tokens.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.