Kwetsbaarheid in software voor videovergaderingen rijksoverheid ontdekt

Gisteren is door journalistiek onderzoek bekend geworden dat er kwetsbaarheden zaten in de Webex-software die door de Rijksoverheid wordt gebruikt voor videovergaderingen. Deze kwetsbaarheden leidden ertoe dat zogeheten metagegevens van Webex-vergaderingen van verschillende bewindspersonen gevonden konden worden.

Voor zover nu bekend lijkt het te gaan om metagegevens, dat zijn: informatie over de naam van de host (persoonsnaam), het meeting-ID, de titel, en de start- en einddatum van het Webex-overleg. De gevonden kwetsbaarheden zijn inmiddels verholpen door softwarebedrijf Cisco.

Het Duitse nieuwsmedium Die Zeit heeft de situatie aan het licht gebracht. De bron van Die Zeit heeft in Duitsland met enkele online vergaderingen kunnen meeluisteren. Of dit in Nederland is gebeurd, kan op dit moment niet uitgesloten worden, maar lijkt niet waarschijnlijk. Dit wordt nog onderzocht.

Bestuurders en ambtenaren moeten er te allen tijde vanuit kunnen gaan dat zij veilig kunnen overleggen. Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) neemt dit daarom zeer serieus en onderzoekt hoe dit heeft kunnen gebeuren. BZK heeft Cisco, het bedrijf achter het Webex-systeem, om opheldering gevraagd en op korte termijn ontboden op het ministerie. Daarnaast is er een melding bij de Autoriteit Persoonsgegevens gedaan en zijn de personen waarvan we weten dat gegevens zichtbaar waren voor derden geïnformeerd. Voor zover we nu hebben kunnen nagaan gaat het om metagegevens van overleggen van de ministers Harbers (IenW), Helder (VWS), De Jonge (BZK), Weerwind en Yesilgöz (JenV) en staatssecretaris Van Huffelen (BZK).

Omdat de kwetsbaarheid in het systeem inmiddels verholpen is, heeft dit incident op dit moment geen gevolgen voor het gebruik van Webex door de Rijksoverheid. We blijven dit wel nauwlettend monitoren. Voor overleg over vertrouwelijke en andere extreem gevoelige informatie hanteert de Rijksoverheid geen webex.