D9D1E2

Datalekken in Nederland

2013

Lek in software geeft toegang tot administraties makelaars (2013-01-03)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Nasleep van het incident | Bronnen]

Organisatie

NVM / Realworks.

Verwerking

Online administratieve dienst voor makelaars.

Betrokkenen

Klanten van makelaars.

Soort (persoons)gegevens

"Het gaat om miljoenen financiŽle transacties, variŽrend van courtage voor het verkopen van een pand tot reguliere bedrijfsuitgaven. De hacker kon ook bij informatie over bepaalde woningprijzen en de waarde van panden op postcode. Daarnaast was er toegang tot de manier van inloggen in het systeem, waardoor de broncode van de website te achterhalen was. Hierdoor is het in theorie mogelijk om ook de wachtwoorden van 150.000 klanten van makelaars volledig te ontcijferen. Bovendien was de e-mailinbox van 8000 huizenverkopers toegankelijk." [Nu.nl, 2013-01-03]

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Beschrijving van het incident

"De problemen spelen bij Realworks, een jointventure van makelaarsvereniging NVM en BaseGroup BV. Het bedrijf levert een online administratieve dienst voor makelaars. In het systeem kan een volledige administratie worden bijgehouden. [...] Via een lek in verouderde software wist de hacker toegang te krijgen tot een beheerderswachtwoord van het platform waar de administratieve software draait. Vervolgens waren ook de gegevens in de databases te achterhalen. [...] De hacker stelt tegenover NU.nl bij toeval op het lek te zijn gestuit. "Ik wilde eens weten of makelaarskantoren hun beveiliging wel op orde hebben. Het is toch gevoelige informatie", betoogt de persoon. 'Opeens bleek er een grotere verbindende factor te zijn.'" [Nu.nl, 2013-01-03]

Respons van de organisatie

"Realworks heeft in samenwerking met de hacker inmiddels maatregelen getroffen. [...] Meteen na melding heeft Realworks maatregelen genomen om verdere problemen te voorkomen. Via NU.nl communiceert de hacker met het bedrijf om de fouten te vinden en te verhelpen. Ook is een beveiligingsbedrijf ingeschakeld. Het bedrijf is niet van plan aangifte te doen. 'Ik vind het vervelend, maar ben blij dat we zo aan een oplossing kunnen werken', stelt [de directeur van Realworks] tegenover NU.nl. 'Uiteraard zijn wij zeer ongelukkig met deze situatie. Realworks heeft na eerste melding 2 januari om 9.30 uur direct adequate maatregelen genomen in het belang van haar klanten.' [Volgens de eigenaar van beveiligingsbedrijf Alycon] gaat het bij het systeem om een complexe keten van verantwoordelijkheden. 'Het lijkt alsof niemand voldoende regie heeft genomen over de beveiliging', aldus [de eigenaar] tegenover NU.nl. 'Dan vallen de onderdelen bij een hack om alsof het dominostenen zijn. Hier moet goed worden nagedacht hoe de dienst wel veilig aangeboden kan worden.' [De eigenaar] stelt in zijn praktijk dit soort fouten van dienstverleners in de cloud vaker tegen te komen en noemt het beeld 'herkenbaar'. Hij adviseert gebruikers van de online diensten van de makelaars de wachtwoorden te veranderen. Ook op andere plekken waar hetzelfde wachtwoord wordt gebruikt, is het verstandig het wachtwoord te veranderen." [Nu.nl, 2013-01-03]

Nasleep van het incident

Nog onbekend.

Bronnen

2013-01-03

.