Gegevens van klanten van het Zuid-Hollandse waterbedrijf Dunea waren tijdelijk online in te zien. Dat was mogelijk omdat de online tool om meterstanden door te geven te manipuleren was. Het lek is inmiddels gedicht.
De kwetsbaarheid werd ontdekt door tweaker Tim Struijs. Hij vond bij toeval een manier om de tool te manipuleren. Daardoor kon hij adressen en e-mailadressen van Dunea-klanten inzien. Dunea heeft 1,3 miljoen klanten in met name het westen van Zuid-Holland.
Klanten van Dunea konden op een speciale website hun meterstanden doorgeven. Daarvoor hadden zij alleen het opnamenummer nodig dat Dunea per post opstuurde. Er zat geen postcodecheck op de tool die controleerde of het opnamenummer bij een bepaald adres hoorde. Andere Nederlandse waterbedrijven in andere provincies hebben allemaal wel zo'n postcodecheck. Omdat die in dit geval ontbrak was het mogelijk om willekeurige opnamenummers in te vullen. Bovendien zat er geen limiet op het aantal keren dat iemand dat kon proberen. Ook ontbrak een captcha, waardoor de tool ook geautomatiseerd zou kunnen worden uitgebuit.
Als een aanvaller een werkend opnamenummer vond was het mogelijk een fictieve meterstand door te geven. Na dat te hebben gedaan verschenen klantgegevens in beeld. Het ging om het adres, de woonplaats en het e-mailadres van een klant. De tweaker die het lek ontdekte kwam zo in ieder geval één klant tegen. Tweakers wilde het lek niet reproduceren omdat dat zou betekenen dat we van klanten een onjuiste meterstand zouden doorgeven, maar Dunea bevestigt wel dat via deze methode ook potentieel andere adressen in te zien waren. "Er was wel een heel erg kleine kans dat iemand toevallig een kloppend opnamenummer kon opgeven", zegt een woordvoerder, al zou dat geautomatiseerd wel makkelijker zijn.
De woordvoerder zegt ook dat er vooraf al maatregelen in het systeem zaten om het doorgeven van niet kloppende meterstanden tegen te houden. "Op het moment dat iemand een meterstand opgeeft die niet kloppend is met de verwachtingen vragen we om een extra controle, zoals een foto van de watermeter." Volgens Dunea zijn er bovendien geen aanwijzingen dat het lek actief misbruikt is.
Nadat Tweakers eerder deze week het lek aan Dunea doorgaf haalde het bedrijf de tool uit voorzorg offline. Inmiddels is er ook een postcodecheck bij de tool geplaatst. Dunea heeft het lek doorgegeven aan de Autoriteit Persoonsgegevens en de betrokken persoon ingelicht. "Dunea heeft privacy hoog in het vaandel staan", schrijft het bedrijf in een reactie. "Wij hebben daarom na deze melding direct de toegang tot deze applicatie via onze website onbereikbaar gemaakt, onderzocht hoe dit kon gebeuren en direct een oplossing in gang gezet."