Wouter Hoeffnagel - 05 mei 2022

Datalek bij NWWI

Datalek bij NWWI image

Het Nederlands Woning Waarde Instituut (NWWI) is getroffen door een datalek. Honderdduizenden taxatierapporten en miljoenen andere privédocumenten van Nederlandse consumenten waren online te bekijken, meldt de Consumentenbond. Na een waarschuwing van de organisatie is het lek door het NWWI gedicht.

Een onderzoeker van de Consumentenbond wist begin maart via een gat in de beveiliging toegang te krijgen tot de broncode en logbestanden van het NWWI. Hier vond hij onder meer wachtwoorden en IP-adressen van banken en verzekeraars. Ook trof de onderzoeker zo'n 20 miljoen verwijzigingen aan waaruit werkende URL's te herleiden waren. Via deze URL's kon de onderzoeker taxatierapporten, kadastergegevens, eigendoms- en splitsingsaktes en foto’s van onder meer gebreken aan woningen inzien en downloaden. Daarnaast kon hij in enkele gevallen ook identiteitsbewijzen inzien. Veel pagina's bleken door Google te zijn geïndexeerd, waardoor deze vindbaar zijn via de zoekmachine.

Lek gedicht

Het NWWI heeft het lek inmiddels gedicht. Het instituut werkt niet langer met statische URL's. Ook is de indexering in Google verwijderd.

Het NWWI publiceert op zijn website de volgende verklaring over het datalek:

"Op 9 maart jl. zijn wij door de Consumentenbond op de hoogte gesteld van het feit dat zij een beveiligingslek hadden ontdekt op een van onze websites en toegang hadden verkregen tot een deel van onze gegevens. Het betrof een oude, niet actieve, website die op het punt stond te worden afgesloten.

Wij betreuren dit incident ten zeerste en hebben direct actie ondernomen om herhaling in de toekomst te voorkomen.

Het beveiligingslek was binnen een half uur nadat wij erop waren gewezen door ons hersteld. Ook zijn wij direct een intern onderzoek gestart naar de vraag hoe dit kon gebeuren.

Dit onderzoek heeft tevens uitgewezen dat er geen enkele partij is geweest, anders dan de Consumentenbond, die het beveiligingslek heeft geconstateerd of misbruik heeft gemaakt van deze omissie in het systeem.

Gelukkig betrof het slechts 15 dossiers, waarbij er slechts in beperkte mate sprake is geweest van persoonsgegevens. Wij hebben betreffende partijen geïnformeerd over dit incident en hen tevens op de hoogte gebracht van het feit dat wij diverse additionele beveiligingsmaatregelen hebben getroffen. Ook delen wij u mee dat wij dit incident bij de Autoriteit Persoonsgegevens hebben gemeld.

Namens de directie"

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024