Criminelen hebben bij de gemeente Epe via een ClickFix-aanval ongeveer 600.000 bestanden buitgemaakt, goed voor meer dan achthonderd gigabyte aan data. De gemeente maakte bekend dat onder de gestolen bestanden ook persoonsgegevens zoals namen en adressen aanwezig zijn.

De bestanden stonden opgeslagen op een interne werkschijf en bevatten diverse soorten informatie. Omdat het om een grote hoeveelheid documenten gaat, duurt het nog enige tijd om precies vast te stellen welke gegevens zijn gelekt en van wie. Bij een ClickFix-aanval worden slachtoffers verleid om een malafide PowerShell-commando uit te voeren, vaak via een nagemaakte CAPTCHA-pagina die het schadelijke commando naar het klembord kopieert. Het slachtoffer wordt vervolgens gevraagd dit commando in het Uitvoervenster of de Windows Terminal te plakken en uit te voeren. Varianten van deze aanval bestaan ook voor Linux en macOS.

De aanval vond plaats op donderdagmiddag 12 maart. De gemeente kreeg toen een melding van een inbraak in de ict-systemen. In samenwerking met cybersecurity-experts zijn de systemen gecontroleerd en weer veilig gemaakt. De inbraak is gemeld bij de Autoriteit Persoonsgegevens. Het vervolgonderzoek, gestart op vrijdag, toonde aan dat de aanvallers bestanden van een netwerkschijf hadden gestolen. Burgemeester Tom Horn betreurt het dat zowel inwoners als de organisatie slachtoffer zijn geworden van de cyberaanval en het datalek, vooral vanwege de persoonlijke gegevens die zijn gelekt.

De gemeente geeft aan dat er moderne beveiligingssystemen zijn die veel aanvallen tegenhouden, maar dat deze specifieke aanval slim en nieuw was. Er wordt samen met experts onderzocht hoe de aanval heeft kunnen slagen en hoe de beveiliging verder kan worden versterkt. Slachtoffers van het datalek worden per brief geïnformeerd zodra meer details bekend zijn.