Zeeuwse woningcorporatie meldt ook datalek na hack bij ict-dienstverlener

Woningcorporatie l'escaut meldt dat mogelijk persoonsgegevens van huurders uitgelekt zijn nadat eind maart ict-dienstverlener The Sourcing Company getroffen werd door een ransomwareaanval. Het is de negende woningcorporatie die een datalek meldt.

Op zijn website meldt l'escaut dat de ict-dienstverlener een week geleden getroffen is door een ransomwareaanval waarbij criminelen losgeld eisten. Door de hack kon de woningcorporatie tijdelijk niet bij een deel van de ict-systemen, en na nader onderzoek blijkt dat de criminelen ook persoonsgegevens van 'een klein aantal' huurders ingezien of opgeslagen hebben. Het zou gaan om namen, adresgegevens, geboortedata, bsn's en rekeningnummers van huurders. De corporatie weet nog niet of de gegevens gestolen zijn, maar sluit het niet uit.

Door de problemen aan de ict-systemen is l'escaut slechter bereikbaar. De woningcorporatie is niet te bereiken via mail of de website en het gebruikelijke telefoonnummer is beperkt bereikbaar. De corporatie heeft het algemene telefoonnummer doorgeschakeld voor dringende storings- of reparatievragen. Door de aanval kan l'escaut niet bij de adresgegevens van huurders, waardoor zij niet alle huurders een bericht heeft kunnen sturen, alleen huurders die geabonneerd zijn op de nieuwsbrief.

L'escaut is de negende woningcorporatie in korte tijd die een datalek meldt. L'Escaut is klant van ict-dienstverlener The Sourcing Company. Die partij werd eind maart getroffen door een ransomwareaanval door de criminelen achter de Conti-ransomware. Hierdoor werd een deel van de servers van het bedrijf versleuteld, en werden gegevens ingezien of gestolen van een deel van de huurders van woningcorporaties. Eerder schreven we over een datalek bij Alwel uit Breda, Trivire uit Dordrecht, Zayaz uit Den Bosch en sociale verhuurder deltaWonen uit Zwolle. Ook QuaWonen uit Krimpenwaard, Laurentius uit Breda, de Woningstichting uit Wageningen en Brederode Wonen uit Bloemendaal hebben inmiddels bericht over het mogelijke datalek op hun website staan.

Welke gegevens precies uitgelekt zijn, dat kunnen de woningcorporaties niet zeggen. L'escaut heeft melding gedaan bij de Autoriteit Persoonsgegevens en waarschuwt dat als er gegevens buitgemaakt zijn, deze misbruikt kunnen worden voor phishing en fraude. L'escaut is een woningcorporatie die zich met name richt op 'huishoudens met een lager inkomen, die recht hebben op huurtoeslag'. Zij beheert 6321 sociale huur- en vrije sectorwoningen, zorgeenheden en bedrijfsruimtes in de omgeving van Vlissingen.

Update 11:00 uur - BN DeStem schreef dinsdag dat acht woningcorporaties van wie mogelijk data uitgelekt is, klant zijn bij ict-dienstverlener The Sourcing Company, zoals verschillende tweakers hieronder meldden. Het lijkt te gaan om dezelfde ict-dienstverlener als l'escaut. The Sourcing Company zegt geen dwangsom te hebben betaald voor het ontsleutelen van de systemen. Security.nl zette woensdag op een rij welke woningcorporaties inmiddels melding hebben gedaan van het incident. Het bericht is hierop aangepast.

Door Stephan Vegelien

Redacteur

06-04-2022 • 08:11

37

Submitter: noordzeepiraat

Reacties (37)

37
36
17
4
0
11
Wijzig sortering
Over die ransomware-attacks op de woning-corporaties (niet alleen deze Zeeuwse). Het lijkt hier om een aanval van de groep Conti te gaan, die aan Rusland is gelieerd.

Overigens hebben de woningstichtingen al aangegeven niet in te gaan op de eis voor losgeld, er zou 15 miljoen euro zijn geeist. Zie door cyberaanval getroffen woningcorporaties weigeren losgeld te betalen
Acht woningcorporaties die eind vorige maand slachtoffer werden van een cyberaanval, gaan geen losgeld betalen aan de criminele hackers. De woningcorporaties schrijven dinsdag in een gezamenlijke verklaring dat er contact met de criminelen is geweest, maar dat ze niet ingaan op hun eisen.

De acht woningcorporaties zijn klant bij The Sourcing Company, een ICT-bedrijf in Woerden. Via het computersysteem van dat bedrijf konden de hackers bij persoonsgegevens van huurders komen.

De websites van de woningcorporaties lagen door de hack tijdelijk plat. Of en hoeveel gegevens van de corporaties zijn buitgemaakt, is onbekend. Wel hebben de woningcorporaties nu extra beveiligingsmaatregelen genomen.

BN DeStem meldt dat de hackers een bedrag van 15 miljoen euro hebben geëist als losgeld. Een deel van de gehackte informatie is maandag al op het darkweb geplaatst door de Russische Conti-groep, aldus de krant. De politie doet momenteel onderzoek naar de datadiefstal en kan dit niet bevestigen.
Iets meer achtergrondinformatie rondom Conti: https://www.bndestem.nl/r...ningcorporaties~a05ffd6c/
Als het "De Russen" waren hadden ze niet om $$ gevraagd maar om roebels. Dollars worden immers meteen bevroren.

Waarschijnlijk gewoon een "westerse" dievenbende.
Waarom roebels? Die zijn geen reet waard op het moment. Zal heus wel dollar zijn, maar betaald in crypto's.
Je loopt een beetje achter, de Roebel is alweer terug op het niveau van voor de oorlog. Reden: ondanks alle sancties verdient Rusland nog steeds een vermogen met de export van gas en olie. Dankzij de hoge energieprijzen brengt die meer geld binnen dan ooit, dat compenseert alle andere sancties ruimschoots ..

Maar on topic: je hebt gelijk, het zullen ongetwijfeld crypto's geweest zijn die ze vroegen.
ga maar uit van equivalent van 15 mil euro in crypto… niet letterlijk 15 miljoen euro naar een privérekening op naam.
Het lijkt hier om een aanval van de groep Conti te gaan, die aan Rusland is gelieerd
hoewel ik het best wil geloven, vraag ik mij toch af hoe je hierop komt?
geen kritiek, gewoon een vraag voor meer info. hebben ze het opgeist? zijn er sporen achtergelaten die bij eerder aanvallen zijn geweest en hun daarmee identificeren?

en als het in de link staat, sorry, maar ik krijg meteen een "neem hier een abbonement" pagina als ik de link open

[Reactie gewijzigd door robertlinke op 31 juli 2024 17:43]

Ze hebben het op hun eigen website op het Darknet gepost. zie het BN/DeStem artikel dat ik link:
Op de website Conti News - op het minder toegankelijke darkweb - heeft de cyberbende nu onder meer de begroting en het jaarverslag 2021 van de getroffen woningcorporatie Quawonen uit Bergambacht gepubliceerd, alsmede vier grote bestanden met mogelijk gevoeligere informatie. Volgens Conti gaat het om 10 procent van de buitgemaakte gegevens.
ja, als ik daarop klik krijg ik "je hebt een abbonement nodig" gezeur.
waarschijnlijk vanwege mijn adblocker
*Wel hebben de woningcorporaties nu extra beveiligingsmaatregelen genomen."

Is het gek dat ik me afvraag: Waarom nu pas?

Iets met 'kalf' en 'sloot dempen' vermoedelijk..
Is het niet mogelijk dat rijksoverheid of de provincie hackers inhuurt om eventuele lekken te vinden? Zeker omdat de laatste tijd wel heel veel gehacked word.
Dat lijkt me niet echt een taak van de overheid, maar eerder van de (in dit voorbeeld) woningstichting zelf, of van hun toeleveranciers (in dit geval dus The Sourcing Company)?

Er zijn zat bedrijven dit soort zogenaamde 'pen-tests' uit kunnen voeren, dit gebeurt bij veel bedrijven al regelmatig (varierend van elk kwartaal tot één keer per jaar), weet ik uit eigen ervaring.

Maar ook pentests behoeden je niet altijd voor dit soort zaken. Ze kunnen altijd nog binnenkomen op andere manieren, denk vooral aan phishing en andere vormen van social engineering.
Er lijkt voor die woningstichting geen belang voor pen-testen o.i.d. Ze besteden een bepaalde dienstverlening uit aan bedrijf X. Zolang in het contract staat dat bedrijf X aan de regels voldoet en een inspanningsverplichting heeft t.o.v. veiligheid en privacy lijkt het belangrijker dat de dienstverlening efficiënt en kostengunstig is.

Bij een hack wijzen ze naar de dienstverlener, als die het te bont maakt stappen ze over naar een ander bedrijf. Met de huidige woningnood raken ze de panden wel kwijt ongeacht de hack bij een extern bedrijf.
Ik heb gewerkt bij een woningstichting en we deden zeker wel regelmatig (jaarlijks) pen testen en de insteek was toen elk jaar een andere. Ik had voor mijn vertrek zelfs een volledige pentest gepland staan, met als opdracht 'zie maar hoe je binnenkomt'. En na week krijg je (als dat niet gelukt is) een password van een account met rechten van een gemiddelde gebruiker en van een online huurder en kijk dan eens hoe ver daarmee je komt. Met als gedachte dat als een crimineel echt een password wil, dan krijgen ze die toch wel.

Of ze dat ook hebben uitgevoerd is vraag 2, maar dat was mijn plan tzt.

Edit typo's

[Reactie gewijzigd door bed76 op 31 juli 2024 17:43]

Overheid en provincie hebben hier geen belang. Een woning-corporatie is geen overheidsinstelling. https://nl.wikipedia.org/wiki/Woningcorporatie.

Het is aan het bedrijf zelf om (in samenspraak met de ICT dienstverlener) PEN-testen uit te (laten) voeren. Een ICT dienstverlener zou hier ook op moeten wijzen.

Een PEN test voorkomt echter niet dat je gehackt wordt. Het verkleint het risico alleen maar (mits goed uitgevoerd). O.a. door nieuwe exploits blijf je een risico lopen. En vlak het menselijk falen ook niet uit.
Ik werk zelf bij een woningcorporatie(gelukkig niet één waar de hack is voorgevallen).

Bij ons worden pen testen minimaal één keer per jaar uitgevoerd. Dit doen wij bij een onafhankelijke partij en niet via de toeleverancier.

Maar ik kan je meegeven dat de digitale kennis onder de werknemers niet op een hoog niveau zit. Dus phising en social engineering zijn de grootste risico's.

Gelukkig zie ik wel dat veel corporaties bezig zijn met het verbeteren van de digitale veiligheid, en vooral gerelateerd tot awareness.
'Pen' staat voor penetration en is dus geen afkorting. Hoeft dus niet met hoofdletters te worden geschreven.
Het is dus wel een afkorting :) maar het is geen acroniem, dus hoeft inderdaad niet met hoofdletters :+
er zijn red teams en blue teams actief in de rijksoverheid. Moet je als partij alleen niet te eigenwijs zijn om hulp te vragen, en je dan ook laten helpen.

Verder is dit een hack bij een toeleverancier, dáár ligt het probleem, niet direct bij een rijkspartij.
Ahhh oke. (deze reactie is ook voor @wildhagen ) Ik ben niet echt thuis in het wereldje. Alleen weet ik van mijn buurman dat hun af en toe een ''hack'' laten doen op hun netwerk om eventuele lekkages te vinden en dan proberen hun het te fixen.

Nu ben ik weer een stukje wijzer geworden. Thanks :D
Hacken is van alle tijden. Al vanaf het begin van dat computers aan telefoonlijnen hangen.

Waarom zou het een overheidstaak moeten worden? Wat als een systeem dat getest is door de overheid toch gehacked wordt? Wie is dan verantwoordelijk voor de (vervolg)schade? Bedrijven (en andere instellingen) zijn zelf verantwoordelijk voor de beveiliging. In dit geval is de toeleverancier van de woonstichtingen verantwoordelijk. Wat al aangegeven is heb je als bedrijf de mogelijkheid om testen door derden te laten uitvoeren. Die geven natuurlijk ook geen 100% zekerheid. Je blijft werken met mensen.
Ik vind het geen slecht idee, een soort digitale wijkagent.
Iemand die kijkt of er bij de voordeur, een veilig & eerlijk toegangs beleid is, en of de achterdeur dicht.
Het is geen goed idee. De overheid heeft hierin geen controlerende rol; wellicht adviserend. Er komt toch ook geen politie bij jou iedere zoveel tijd langs om te kijken of je deuren wel goed dicht zitten? Dat is jouw verantwoordelijkheid. En het is ook jouw verantwoordelijkheid om een beetje knap hang en sluitwerk te installeren.
Het klopt, de overheid heeft nu geen (of beperkte) controlerende rol, maar voor een goed advies is, naar mijn mening ook een inspectie nodig.

We verschillen van mening.
Algemene adviezen kunnen prima zonder inspectie gegeven worden en mogen wat mij betreft prima beschouwd worden als een overheidstaak (die ook opgepakt wordt, zie bijvoorbeeld https://www.ncsc.nl/) Specifieke op-maat beveiligingsadviezen zijn mijns inziens geen onderdeel van de rol die de overheid zou moeten spelen op het gebied van de digitale weerbaarheid.
Hoeveel andere woningcoorperaties (en anderen) maken gebruik van dezelfde dienstverlener? en zouden die ook niet allemaal al ge(k)raakt zijn? * nachtnet verwacht dat het huidige aantal echt nog wel gaat oplopen.
Het is niet alleen deze dienstverlener. Zo’n twee maanden geleden is ook het datacenter van Aareon slachtoffer geworden. Zij hosten ook voor diverse verhuurders de platformen en ook daar zijn diverse verhuurders onderdeel geweest van een aanval. Dit is echter niet in het nieuws gekomen, terwijl de omvang qua verhuurders net zo groot en qua aantallen huurders misschien nog wel groter is.

Zie o.a. https://www.aareon.nl/Ove...r_cyberaanval.753590.html

En een van de verhuurders:

https://www.mvgm.nl/news/...-vanwege-een-cyberaanval/

Ook Tweakers heeft dit bericht toen niet geplaatst. Waarom het huidige bericht ineens wel nieuws is begrijp ik niet helemaal.

[Reactie gewijzigd door Vicje op 31 juli 2024 17:43]

Het waren er gisteren al 8, dus met deze erbij al 9 en geen 5.
Dit is nieuws voor mij. Ik pas het bericht hierop aan.
Ik heb vorige maand ook bericht van mijn verhuurder gekregen dat er een hack is geweest, en dat daar waarschijnlijk veel van mijn persoonsgegevens de buit zijn gemaakt.

Die hack lijkt los te staan van de incidenten in dit bericht.
Dat is wat mij betreft de juiste invalshoek. Heel veel organisaties worden gehackt. Een klein deel daarvan krijgt daarvoor media-aandacht. Ik heb het sterke vermoeden dat een disproportioneel deel daarvan media-aandacht krijgt omdat ze zelf transparant zijn. Dat is dus geen kritiek op het artikel van @SirRosencrantz, maar ik denk dat er wel door media in het algemeen meer nagedacht mag worden hoe de aandacht kan verschuiven naar degenen die dit soort incidenten juist stil proberen te houden.
De stilhouders zijn de ergste.
Ja daar zit wat in hoor, en er een artikel over schrijven is natuurlijk ook geen kritiek, maar eerder vaststellen van een gebeurtenis. Het sluit niet uit dat we nog gaan kijken of we iets dieper kunnen graven om te achterhalen wat er nou precies mis is gegaan bij de ict-dienstverlener en wie er nog meer getroffen is. Maar dat vergt iets meer tijd en moeite, dus dat laat nog even op zich wachten.
Gisteren stond op nos.nl dat er al acht woningcorporaties waren die een melding bij de autoriteit persoonsgegevens hebben gedaan:
De corporaties Alwel (Roosendaal), Brederode Wonen (Bloemendaal), Laurentius (Breda), l'esceaut (Vlissingen), Trivire (Dordrecht), QuaWonen (Krimperwaard), De Woningstichting (Wageningen) en Zayaz ('s-Hertogenbosch) hebben melding gemaakt van de aanval bij de Autoriteit Persoonsgegevens
Bron: Vertrouwelijke informatie gestolen bij aanval op woningcorporaties
na nader onderzoek blijkt dat de criminelen ook persoonsgegevens van 'een klein aantal' huurders ingezien of opgeslagen hebben.
...
De corporatie weet nog niet of de gegevens gestolen zijn, maar sluit het niet uit.
Wanneer zijn de gegevens volgens de corporatie dan gestolen? Als je ingezien zijn, zijn ze toch in het bezit van de tegenpartij, en dus per definitie gestolen?
Ik vraag me iedere keer weer af, 1. wat kan een kwaadwillende hiermee en 2. wie is er dan verantwoordelijk voor de schade.
Heimstaden nederland is dit jaar ook getroffen, gegevens zijn waarschijnlijk ook buit gemaakt. Of 't hetzelfde is dat weet ik niet, tis ondertussen alweer meer dan maandje terug.

Op dit item kan niet meer gereageerd worden.