De gemeente Epe heeft na anderhalve maand onderzoek de volledige omvang van het datalek bekendgemaakt. Bijna alle inwoners zijn getroffen, waarbij persoonsgegevens zoals naam, adres, geslacht, geboortedatum, geboorteplaats, geboorte land en BSN-nummers zijn buitgemaakt. Daarnaast zijn van duizend inwoners kopieën van identiteitsbewijzen gestolen. Burgemeester Tom Horn benadrukt dat het hier niet slechts om een lek gaat, maar om diefstal van gegevens. De gemeente neemt haar verantwoordelijkheid serieus, maar erkent dat het mis is gegaan.

De cyberaanval werd op 12 maart ontdekt en bleek al snel omvangrijker dan aanvankelijk gedacht. Eind maart vroeg de gemeente extra tijd omdat het herleiden van de honderdduizenden gestolen bestanden complex was. Inmiddels is het onderzoek grotendeels afgerond, waardoor duidelijk is welke data precies is buitgemaakt. Naast de eerder genoemde persoonsgegevens zijn ook contactgegevens en bankrekeningnummers van een deel van de inwoners gestolen. De duizend inwoners van wie een kopie van het identiteitsbewijs is ontvreemd, kunnen kosteloos hun rijbewijs, ID-kaart of paspoort laten vervangen. Zij ontvangen uiterlijk 8 mei een aparte brief.

Volgens burgemeester Horn zijn geen DigiD-gegevens of gecombineerde contactlijsten buitgemaakt. Hij legt uit dat cybercriminelen vaak datasheets met contactgegevens in één bestand waarderen, maar dat zulke lijsten bij de gemeente Epe niet aanwezig waren. De aanval begon op 10 maart met een zogenaamde ClickFix-aanval, waarbij een medewerker een nep-CAPTCHA kreeg te zien. De instructies om deze op te lossen bevatten een commando dat malware installeerde toen het werd uitgevoerd. Twee dagen lang konden de aanvallers meekijken met systemen. Vermoedelijk wisten zij daarna het wachtwoord van een systeembeheerder te raden, mogelijk met behulp van lijsten met miljoenen eerder gebruikte wachtwoorden die online circuleren. Op 12 maart startten zij met het downloaden van gegevens. De beveiligingssystemen sloegen alarm, waardoor het niet lukte om het gehele gemeentesysteem te blokkeren.

De politie onderzoekt de daders, maar hun identiteit is nog onbekend. De gemeente is niet benaderd voor losgeld en de gestolen gegevens zijn tot nu toe niet op het darkweb verschenen. Alle medewerkers hebben hun wachtwoorden vernieuwd en de systemen zijn extra beveiligd. Inwoners ontvangen binnenkort een brief met uitleg en praktisch advies. De gemeente roept op om alert te zijn en verdachte activiteiten met betrekking tot misbruik van persoonsgegevens te melden.