Piratenpartij

voor een vrije informatiesamenleving

Hacker actief tijdens ALV (met update)

door

Terwijl vandaag de ALV werd gehouden is er een inbraak geweest in de databases van de Piratenpartij. Zoals het er nu uitziet hebben de indringers toegang gehad tot onder andere de bestanden van de website en de database met de ledenadministratie. De website is daardoor vanmiddag enige tijd offline geweest. Of er ook daadwerkelijk gegevens zijn gedownload uit de ledenadministratie wordt op dit ogenblik nog onderzocht, maar we kunnen niet uitsluiten dat deze gegevens zijn ingezien en gedownload. We onderzoeken ook of de indringer de LDAP-databases heeft gedownload.

[Update 25-11-2014 00:10]

De indringer heeft in elk geval toegang gehad tot de volgende databases:

etherpad
forum
ledenadm_civicrm
ledenadministrat
lidworden
opinie
oud
piratenpartij
programma
tickets
vrijwilligers
webmail

Wij zijn op dit moment hard aan het werk om precies uit te zoeken welke gegevens precies zijn buitgemaakt en hopen daar zo snel mogelijk uitsluitsel over te hebben. Zodra wij hier zekerheid over hebben zullen we dit ook zo snel mogelijk weer aan de leden melden.
Wij betreuren dat dit heeft kunnen gebeuren en zullen er alles aan doen om de daders te achterhalen en herhaling te voorkomen. Wij onderzoeken of het mogelijk en zinvol is om aangifte te doen.

Zodra er meer concreet nieuws is zullen we dit per mail en via de website melden.
We raden voor de zekerheid alle leden met een piratenpartij.nl account aan om het wachtwoord z.s.m. te wijzigen. Dat kan:

voor mail wachtwoorden: https://mail.piratenpartij.nl/
voor ldap (site etc.) : https://pwm.piratenpartij.nl/

Mocht je deze wachtwoorden ook voor andere websites gebruikt hebben raden we je aan om ook die te veranderen.

Namens het bestuur,

Henk Heslinga
Wiel Maessen
*********************************************
Update 25-11-2014 00:10

Beste Piraten,

Zoals we jullie berichtten in de mail van afgelopen middag, zijn een aantal digitale diensten van de Piratenpartij door derden binnengedrongen zonder dat zij hiervoor expliciete toestemming hadden ontvangen van het bestuur.

In een eerder bericht hebben we aangegeven dat het ledenbestand van de Piratenpartij gecompromitteerd is. Na een eerste Quick Scan door Piraten – die tevens lid zijn – met een achtergrond in de informatiebeveiliging, moeten we jullie helaas mededelen dat deze aanval verder is gegaan dan alleen het vergaren van het ledenbestand. Ook diensten zoals Etherpad en het Forum en alle gegevens die daaraan gekoppeld zijn, moeten als getroffen worden beschouwd.

Wij willen dan ook alle Piraten die lid zijn of anderzijds denken dat hun persoonlijke informatie op de website of delen daarvan aanwezig is, adviseren om de aankomende periode bedacht te zijn op scam e-mail. Een eerste overzicht van de diensten die getroffen werden, tref je hieronder aan.

Daarnaast is de database van onze website verwijderd; deze hebben we moeten herstellen van backup. Er zijn geen artikelen verdwenen; wel is het mogelijk dat een aantal gebruikersreacties die die dag geplaatst zijn en nog niet in de back-up stonden, verdwenen zijn.

Indien jullie verdachte mails krijgen die met verdergaande achtergrondinformatie jullie persoonlijk benaderen verzoeken we jullie om deze te sturen naar het bestuur.

Het bestuur van de Piratenpartij betreurt de ontstane situatie ten zeerste en doet alles wat in haar vermogen ligt om deze situatie op te lossen.
Voor vragen en/of opmerkingen kunt u contact opnemen op bestuur [at] piratenpartij [dot] nl .

Wij hebben van meerdere mensen het verzoek gekregen om aan te geven welke gegevens er in de databases stonden. Hieronder vind je een overzicht.

Namens het bestuur,
met vriendelijke groet,

Henk Heslinga
Wiel Maessen

—————————————————————————————————————————–

 

Lijst met databases en functies:
Etherpad: 
Etherpad gebruiken we om met meerdere mensen aan teksten te werken. De inhoud bevat agenda’s en notulen van vergaderingen, concepten van blogs, plannen voor acties. Er kunnen persoonsgegevens in staan, zoals voornamen van vrijwilligers die bepaalde acties zijn toegewezen. De inhoud van deze pads is openbaar.
 
Forum: 
De inhoud van het forum op forum.piratenpartij.nl
 
Ledenadm_civicrm + ledenadministratie: 
Dit is de ledenadministratie. Per aangemeld lid is opgeslagen:
    – e-mail
    – initialen
    – naam
    – adres
    – postcode
    – woonplaats
    – lidmaatschap betaald ja/nee
    Sporadisch een roepnaam en een telefoonnummer, geen bankgegevens.
 
Lidworden: 
Dit is de pagina waar men zich kan aanmelden als lid. 
 
Opinie: 
Dit zijn opiniestukken die op opinie.piratenpartij.nl zijn geplaatst.
 
Oud: 
Dit was de oude website, te vinden op oud.piratenpartij.nl. 
 
Piratenpartij: 
De website + ingeschreven e-mailadressen voor de nieuwsbrief.
 
Programma: 
Deze database bevat de wiki van het partijprogramma incl. het wijzigingslog.
 
Tickets: 
Het ticketsysteem dat gebruikt wordt door de ict-helpdesk, persdienst, werkgroepen communicatie en organisatie. Deze database bevat e-mails met onder andere persoonsgegevens.
 
Vrijwilligers: 
Lege database bestemd voor vrijwilligersadministratie.
 
Webmail: 
Gegevens van de webmail client op webmail.piratenpartij.nl zoals adresboeken en identiteiten (e-mailadressen) van gebruikers. Geen mailinhoud.
De LDAP server:
Hierop worden de accounts geregistreerd waarmee je kunt inloggen op de website, het forum, etc. 
Deze gegevens waren in te zien:
    – gebruikersnaam
    – naam
    – e-mailadres
Wachtwoorden zijn, voorzover bekend, niet ingezien. Deze zijn niet in platte tekst opgeslagen.
Mailinglijstarchieven:
    Mails die naar mailinglijsten van de Piratenpartij zijn gestuurd, waaronder enkele besloten lijsten. Dit zijn waarschijnlijk onder andere de bestuursmailinglijst en de lijst van de ledenraad.
Andere plekken, waaronder onze boekhouding, lijken vooralsnog niet getroffen.

Lees Interacties

Reacties

  1. reeuwijk zegt

    Gebruik gegevens.

    We zullen je gegevens gebruiken voor partij-communicatie. Wij geven geen gegevens door aan derden en zijn zorgvuldig in de opslag van deze gegevens.

    Voutje 😉 moet kunnen
    maar toch slordig dat ik hier indirect achter moet komen!

  2. Nick Overweg zegt

    Aangifte doen?

    Kan het bestuur eerst even bij zichzelf ten rade gaan of dat wel strookt met het partijprogramma?

    Of gaan we nu ook zelf hackers opjagen? Misschien moet het bestuur eerst een oproep doen aan de hacker om contact te leggen zodat de beveiliging verbeterd kan worden.

    Het is allemaal niet zo moeilijk mensen.

    • Alexander Kaasjager zegt

      “Het is allemaal niet zo moeilijk mensen”.

      Fijn om te horen. We hebben het hier niet over iemand die aan ‘responsible disclosure’ doet. We hebben het over iemand die data jat. “Hackers jagen”, niet van toepassing.

  3. Joost zegt

    Op de ALV stonden gewoon computers open met een wordpress pagina waar de hele leden lijst uit exporteren was

    Maar dat terzijde

  4. blauwbaard zegt

    Ik ben benieuwd of dit gebeurd is via een van de ernstige security holes die vorige week gefixt zijn in WordPress.

    Bizar hoe het bestuur vasthoud aan de overstap naar WordPress, die doorgedrukt is door kwaadwillende leden.

    Verder eens met Nick.

    “[We] zullen er alles aan doen om de daders te achterhalen” klinkt in ieder geval bijzonder leeg en ongeloofwaardig.

  5. Robert Engel zegt

    Hebben jullie maatregelen genomen om de persoonsgegevens op te slaan volgens de eisen die de Wet Bescherming Persoonsgegevens daaraan stelt?

  6. Mielipuoli zegt

    Wat is dit nou weer?
    Overkomt dit andere politieke partijen ook continu, maar zijn zij zo slim om het niet openbaar te publiceren?
    Of willen wij alles op onze eigen manier doen, waardoor wij amateurs gaten in ons systeem hebben in tegenstelling tot professionele websites?
    Of is er één of ander oud-bestuurslid met rancune en inloggegevens?

    • blauwbaard zegt

      Het lijkt erop dat in ieder geval de scheiding tussen de ledenadministratie en de openbare servers niet afdoende was.

      Als wat Joost zegt klopt, en de ledenadministratie via WordPress benaderd kon worden, dan is dat zeer ernstig.

      Een paar jaar geleden waren dit soort dingen toch beter geregeld…

      • frank87 zegt

        We hadden eerst het andere uiterste: de ledenlijst was alleen te benaderen als de juiste twee bestuursleden aanwezig waren.
        Maar die ledenlijst klopte toen toch niet.

      • Wiel Maessen zegt

        Dat klopt niet. De ledenadministratie was NIET via WordPress toegankelijk. Hoe dat verhaal in de wereld komt is mij een raadsel.
        En er is op de ALV ook geen laptop onbeheerd geweest, iets wat ik ook al heb gehoord.
        Mensen, mensen. Het gonst helaas van dit soort vage geruchten.

  7. buurman zegt

    Enige glimlach kon ik toch niet onderdrukken bij het lezen van dit nieuws… Een partij die gefocused is op IT en de zaken zelf niet helemaal op orde heeft…
    Ik hoop dat de hacker een wit hoedje opheeft en nog contact opneemt.

  8. Robert Engel zegt

    Ik stelde vanmiddag deze vraag al, maar zou erg graag geïnformeerd willen worden over deze kwestie. Nog maar een keer dan:

    Hebben jullie maatregelen genomen om de persoonsgegevens op te slaan volgens de eisen die de Wet Bescherming Persoonsgegevens daaraan stelt?

  9. Robert Engel zegt

    Ik stel er nog een vraag bij:

    Is het inderdaad zo dat de hele ledenlijst op de ledenvergadering via WordPress in te zien was?

  10. Annabel zegt

    Toen ik die mail binnenkreeg dacht ik eerst dat dit een grap was. Maar nee, het is blijkbaar serieus. Dat men nog een hoop te leren heeft als relatief jong partij kan ik goed begrijpen. Maar juist op deze zaken had ik de piratenpartij toch echt hoger ingeschat, dit klinkt te amateuristish voor woorden, helaas.

  12. De Kiloknaller zegt

    Mensen van de piratenpartij, in vervolg de zaak beter beveiligen. Groeten, de Kiloknaller.