NWWI lekte via open directory honderdduizenden taxatierapporten

Het Nederlands Woning Waarde Instituut (NWWI) heeft via een open directory honderdduizenden taxatierapporten en andere privédocumenten van Nederlandse burgers gelekt, zo laat de Consumentenbond tegenover Security.NL weten. Begin maart ontdekte een onderzoeker van de Consumentenbond dat poort 81 en 82 bij de NWWI openstonden, met daarachter een open directory met directory browsing die alles downloadable aanbood, inclusief perl-scripts, aldus een woordvoerder.

De onderzoeker trof ook wachtwoorden aan, ip-adressen van banken en verzekeraars en zo’n twintig miljoen verwijzingen waaruit werkende url’s te herleiden waren. Via deze url’s kon de onderzoeker ongehinderd talloze taxatierapporten, kadastergegevens, eigendoms- en splitsingsaktes, foto’s (onder andere van gebreken aan huizen) en in enkele gevallen ook kopieën van identiteitsbewijzen inzien en downloaden. De Consumentenbond waarschuwde het NWWI, waarna het lek werd gedicht.

Naast de open directory bleken veel pagina’s door Google te zijn geïndexeerd en vindbaar via de zoekmachine. Het NWWI werkt inmiddels niet meer met statische url’s en heeft de indexering door Google laten verwijderen. Het NWWI zegt het lek te hebben gemeld bij de Autoriteit Persoonsgegevens.

In 2018 ontdekte de Consumentenbond dat het NWWI gebruikmaakte van raadbare url’s, die bestonden uit een vast deel en een getal van veertien cijfers. Kwaadwillenden konden oneindig getallen raden tot ze werkende links vonden, waarna ze de taxatierapporten en andere documenten konden bekijken. Na de waarschuwing beperkte het NWWI het aantal toegestane pogingen.

Het NWWI valideert (keurt) taxatierapporten van woningen van aangesloten taxateurs en ziet erop toe dat elke taxatie uniform en volgens duidelijk richtlijnen is opgesteld. Zo’n 4650 van de ongeveer 7000 taxateurs die zijn aangesloten bij het Nederlands Register Vastgoed Taxateurs maakt gebruik van de diensten van het NWWI. Deze taxateurs slaan hun rapporten en tal van andere documenten bij het NWWI op, waarna burgers ze via een persoonlijke link kunnen inzien.

Update

In een verklaring op de eigen website met het NWWI dat het datalek zich voordeed in een oude, niet actieve website die op het punt stond te worden afgesloten. “Het beveiligingslek was binnen een half uur nadat wij erop waren gewezen door ons hersteld. Ook zijn wij direct een intern onderzoek gestart naar de vraag hoe dit kon gebeuren”, aldus de verklaring.

“Dit onderzoek heeft tevens uitgewezen dat er geen enkele partij is geweest, anders dan de Consumentenbond, die het beveiligingslek heeft geconstateerd of misbruik heeft gemaakt van deze omissie in het systeem. Gelukkig betrof het slechts 15 dossiers, waarbij er slechts in beperkte mate sprake is geweest van persoonsgegevens”, zo laat het NWWI verder weten.

Bron: Security.nl

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd.

12Privacy.nl