NWWI-lek maakte ID's en 'honderdduizenden' huizentaxaties downloadbaar

Een site van het Nederlands Woning Waarde Instituut had een beveiligingslek waardoor een onderzoeker van de Consumentenbond wachtwoorden van Nederlandse banken en verzekeraars kon inzien. Ook kon hij taxatierapporten, kadastergegevens en identiteitsbewijzen downloaden.

De Consumentenbond schrijft begin maart toegang te hebben gekregen tot de broncode en logbestanden van het NWWI. Tegen Security.nl zegt de consumentenorganisatie dat poort 81 en poort 82 bij het NWWI openstonden. Daardoor was het mogelijk om directory's van buitenaf te bekijken en er informatie van te downloaden.

Op de server trof de onderzoeker wachtwoorden aan, evenals IP-adressen van banken en verzekeraars. Ook waren er 'zo'n twintig miljoen verwijzingen' waarmee werkende URL's te maken waren. Met deze URL's waren weer 'honderdduizenden' taxatierapporten, kadastergegevens, eigendoms- en splitsingsakten en foto's te downloaden. Op die foto's stonden bijvoorbeeld gebreken aan huizen. In 'enkele gevallen' waren ook kopieën van identiteitsbewijzen te downloaden.

Veel van de URL's waren bovendien geïndexeerd door Google en daardoor vindbaar. Nadat de Consumentenbond contact had opgenomen, is het lek gedicht, zijn de indexeringen verwijderd en zegt het NWWI niet meer met statische URL's te werken. Ook is het lek gemeld bij de Autoriteit Persoonsgegevens.

Het NWWI schrijft dat het om een 'oude, niet actieve website' gaat die 'op het punt stond te worden afgesloten'. Bij het lek waren volgens het instituut vijftien dossiers in te zien, 'waarbij er slechts in beperkte mate sprake is geweest van persoonsgegevens'. De getroffenen zijn geïnformeerd en er is een onderzoek gestart naar hoe het lek heeft kunnen ontstaan. Uit dit onderzoek blijkt volgens het instituut dat alleen de Consumentenbond het lek geconstateerd heeft en dat er geen misbruik is gemaakt.

Het is niet voor het eerst dat de Consumentenbond een lek vindt bij het NWWI. In 2018 bleek de organisatie raadbare URL's van veertien cijfers te gebruiken, die onbeperkt geraden konden worden. Het NWWI beperkte daarop het aantal toegestane pogingen. Het instituut valideert taxatierapporten van taxateurs. Zo'n 4650 taxateurs gebruiken het NWWI om documenten op te slaan die door consumenten weer in te zien zijn.

Reacties (63)

DDX 4 mei 2022 11:56

Uit dit onderzoek blijkt volgens het instituut dat alleen de Consumentenbond het lek geconstateerd heeft en dat er geen misbruik is gemaakt.

Niets aan de hand dus, alsof je zoiets zeker kan weten.

_Eend_ @DDX • 4 mei 2022 11:59

Knoop een server aan het internet en binnen 5 minuten heb je de eerste automatische scans al te pakken. Het zou mij verbazen als dit lek niet is opgemerkt door iets of iemand..

TD-er

@_Eend_ • 4 mei 2022 12:46

Die 5 minuten is helaas al overdreven lang.
Afgelopen week samen met iemand bij Hetzner een cloud server opgezet om even snel iets te testen en ruim binnen de 1e minuut liep de log van de webserver al aardig vol met allerlei standaard pogingen voor het hacken van allerlei standaard website pakketten zoals Wordpress.

sjongenelen @TD-er • 4 mei 2022 13:26

Yup. Zelfde hier met m'n nieuwe firewall. Had heel even SSH open staan, gelijk 10 login attempts

aequitas

@TD-er • 4 mei 2022 13:27

IP ranges die cloud providers (en andere hosters, ISPs, etc) gebruiken zijn gewoon geregistreerd[0] en bekend. Dus het is voor veel aanvallers handig om die addressen vaker te scannen want je weet dat de kans groter is om daar iets te vinden dan op een willekeurig ander IP adres.

[0] https://ipinfo.io/AS24940

_Eend_ @TD-er • 4 mei 2022 13:47

Als ik een nieuwe VPS start staan er al nieuwe loginpogingen in het log nog voordat ik er op kon inloggen. Dus die 5 minuten was inderdaad erg ruim. Het is niet zo heel boeiend, de eerste stap is toch Fail2Ban installeren en gelukkig doet de VPS boer aan SSH keys.

GertMenkel

Beveiliging en antivirus

@_Eend_ • 4 mei 2022 14:33

Dat ligt nogal aan het lek. Als dat lek een brakke WordPress-versie, een kwetsbare Exchange-server of een SSH-server met een standaardwachtwoord is dan is je server met vijf minuten gehackt.

Als het ook maar iets moeilijker is (zoals het ophogen van een ID in een omgeving nadat je bent ingelogd) dan gaan al die scanners echt niks vinden. Die automatische scanscripts zijn echt ontzettend dom en ze hoeven ook niet slim omdat er nog veel meer domme systeembeheers zijn die hun servers open laten staan.

SunnieNL

@DDX • 4 mei 2022 12:19

ja, vooral ook omdat de onderzoeker al zegt dat er 100.000 items waren in te zien an het instituut zegt 15 stuks... dat is maar een verschil van 99.985. En zelfs al zouden het 15 rapporten zijn en de rest onderdelen zijn van die rapporten. Dan zijn het rapporten met meer dan 8000 items (foto's etc.). Dat kan ik mij ook niet voorstellen.

gorgi_19 @SunnieNL • 4 mei 2022 13:10

Ze zeggen dat er 100.000 items in te zien waren. De onderzoekers hebben 15 bestanden ingezien. Uit hun eigen onderzoek is gebleken dat er ook maar 15 items daadwerkelijk ingezien waren (ondanks dat ze er 100.000 in konden zien).

Van die 15 bestanden is dus sprake van een datalek, niet van 100.000. Alleen de getroffen personen worden ook geinformeerd. Dat het potentieel veel groter kan zijn, is een ander iets. Hadden de onderzoekers in plaats van 15 bestanden, er 50 bekeken, dan hadden ze deze 50 moeten informeren.

SunnieNL

@gorgi_19 • 4 mei 2022 14:02

mjah, alleen staat er niets over tijdslijnen. Hoever gingen de logbestanden mee? Als dat een week was, kun je niet echt stellig zeggen dat er niet meer bestanden zijn ingezien.

Tintel @gorgi_19 • 4 mei 2022 14:07

Als dat zo zijn en tesamen met de - terechte - opmerking "hoe weet je wat ze hebben gedaan als er geen sporen zijn?", dat chargeert het instituut toch enorm? De hoeveelheid 'beschikbare' data was veel groter blijkbaar.

Voelt een beetje als "het raam stond open maar we vonden geen voetsporen van inbrekers dus niemand is binnen geweest".

En dat was dus niet de 1e keer...typisch...

dabronsg @gorgi_19 • 4 mei 2022 15:42

Niet helemaal...

https://autoriteitpersoon...-een-datalek-precies-7964

Er was toegang tot meer, dus dat telt mee in het lek.

(Als ik het goed begrepen heb)

mjtdevries @dabronsg • 4 mei 2022 19:14

Ongeoorloofde toegang betekent dat iemand ook daadwerkelijk toegang heeft gehad, of dat je dat niet kunt uitsluiten.
Er zijn situaties waarbij je aan de hand van de logs kunt uitsluiten dat iemand de data heeft gezien en dan heb je geen datalek.

Of zij dat werkelijk kunnen uitsluiten met hun logs kun je natuurlijk wel vraagtekens bij zetten. Die logs zullen vast wel lekker oplopen. Worden die echt nooit geschoond?

Anoniem: 1301524 @DDX • 4 mei 2022 12:00

Als er geen logs zijn is er ook geen bewijs dat er iets slechts is gebeurd 🚀 (/s)

gorgi_19 @Anoniem: 1301524 • 4 mei 2022 12:04

Als er geen logs zijn, kan je ook niet redelijkerwijs uitsluiten dat de gegevens ingezien zijn. Er moet dus geen bewijs zijn dat er iets is gebeurd, maar er moet bewijs zijn dat iets juist niet is gebeurd.

HuisRocker @gorgi_19 • 4 mei 2022 13:52

Is het je niet duidelijk dat '/s' staat voor 'eind sarcasme'?

Accretion @gorgi_19 • 5 mei 2022 07:38

Nee klopt, je kunt het niet uitsluiten zonder logs.
Maar als je geen logs hebt kun je halfwaarheden stellen zoals:

"Volgens onze informatie heeft niemand dit lek misbruikt".

"We hebben geen informatie waaruit blijkt dat het lek misbruikt is.

"Er zijn geen gegevens gevonden waaruit het aannemelijk is dat het lek misbruikt is."

Aangezien je simpelweg geen gegevens/informatie hebt kan je daar geen conclusies uit trekken. Niet dat het wel zo is, niet dat het niet zo is.

Een beetje zoals:
"Daar heb ik geen actieve herinnering aan".

Alhoewel, dat zou een stapje verder kunnen zijn, namelijk de logs in de prullenbak gooien en dan claimen:

"In de log mappen kunnen we niets terug vinden waaruit blijkt dat het lek is misbruikt."

Floort

@DDX • 4 mei 2022 13:03

Uit dit onderzoek blijkt volgens het instituut dat alleen de Consumentenbond het lek geconstateerd heeft en dat er geen misbruik is gemaakt.

Dit is typisch iets dat je wel kan constateren uit access logs. Wees sceptisch bij claims zoals "er is geen bewijs aangetroffen dat er misbruik is gepleegd", maar hier staat wat anders.

Kees BOFH @Floort • 4 mei 2022 13:41

Inderdaad, dat kun je met de accesslogs bepalen (en dan hopen dat ze ook lang genoeg terug gaan om de hele periode dat het open stond te kunnen onderzoeken).

En deze accesslogs kun je als bezoeker niet zomaar wissen, dan zou er wel meer aan de hand zijn geweest. Het lijkt mij dus heel waarschijnlijk dat ze dit gewoon goed hebben kunnen onderzoeken en hebben kunnen concluderen dat behalve google en de consumentenbond er geen andere partijen bij zijn geweest.

bkor @Kees • 4 mei 2022 14:18

(en dan hopen dat ze ook lang genoeg terug gaan om de hele periode dat het open stond te kunnen onderzoeken)

Dat hoort niet alleen tussen haakjes te staan. Indien ze zeggen dat ze iets bewezen hebben dan horen die logs ver genoeg terug te gaan. Gewoonlijk gaan zulke logs juist niet enorm lang terug. Verder vind ik het vreemd dat sommige dingen wel op Google waren te vinden. Indien het op Google te vinden was dan kon je het ook benaderen via een Google cache, plus dan is het wel opgevraagd / te vinden in de logs.

aadje93 @DDX • 4 mei 2022 12:20

Als de consumentenbond het lek constateert dan weet je zeker dat de halve wereld het inmiddels ook al gezien heeft

mavink @DDX • 5 mei 2022 14:44

En het is ook gewoon 100% zeker niet controleerbaar voor het NWWI. De Consumentenbond meldt namelijk:
"Naast het lek in de beveiliging bleken veel pagina’s door Google geïndexeerd en dus vindbaar via de zoekmachine"

Dat houdt in dat die pagina's sowieso opgehaald zijn vanaf een extern adres. Iedereen kan de googlebot user-agent faken, dus dat in een logregel staat dat de pagina geindexeerd is door Google hoeft niet altijd de waarheid te zijn. Verder komt die pagina daarna in de cache bij Google en kan vanaf daar ook door derden bekeken zijn; daar heeft het NWWI helemaal geen logs van. Dus of de Consumentenbond stelt de zaken verkeerd voor, danwel het statement van het NWWI is onjuist. Ik gok op het laatste.

Franky Boy 4 mei 2022 12:45

Wat ik nog veel erger vind, is dat jouw gegevens heel makkelijk te downloaden zijn bij het kadaster.
Heb je welk eens een rapport opgevraagd? Kost 2,95, en daar staat zoveel informatie in dat ik het onzinnig vind. Adres, geboortedatum, hypotheek, telefoonnummer, ....
Ik heb daar met mijn makelaar over gesproken, en dit was ooit wel besproken, maar het beschikbaar zijn van zulke informatie achtte het kadaster belangrijker dan gegevens bescherming. Zou zelfs wettelijk verplicht zijn.
Dat die informatie voor een makelaar of notaris beschikbaar moet zijn voor het uitoefenen van hun beroep begrijp ik, maar waarom moet elke leek daar bij kunnen, en zou al heel veel informatie hebben voor identiteitsfraude. Nog nooit van RBAC gehoord blijkbaar.

gorgi_19 @Franky Boy • 4 mei 2022 13:16

Dan moet je niet bij het kadaster zijn, maar bij de wetgever. Het kadaster voert de wet uit en maakt de gegevens beschikbaar.

Zie ook:

quote: https://www.kadaster.nl/o...d/openbaarheid-en-privacy
De gegevens in onze registraties zijn volgens de wet voor iedereen toegankelijk en openbaar. Hiermee is de rechtszekerheid in het vastgoedverkeer gewaarborgd en ontstaat er geen misverstand over wat van wie is.

Tintel @Franky Boy • 4 mei 2022 14:24

Een makelaar is niet eens een echt beroep - niet beschermd of wat dan ook. Een notaris is al wat meer dan dat.
Ik heb me daar ook over verbaasd; het gemak waarmee een makelaar vraagt om dergelijke zaken (eigendomsakte, persoonsgegevens, hypotheekgegevens) - iemand die nauwelijks wat kan, doet en weinig risico loopt maar wel veel geld daarvoor krijgt en daarmee aanzien in de maatschappij. Maar het blijven prutsers. Weinig goede ervaring mee (zeg maar geen...).
Kapitalisme ten top: "ik verkoop andermans dure eigendom en daar verdien ik buitensporig veel geld mee, dus daarom ben ik belangrijk"

MazDaMan1970 @Tintel • 5 mei 2022 10:21

Ben ik ten dele met je eens; het algemene beeld is dat veel makelaars "snelle jongens zijn, die gemakkelijk veel geld binnen harken". Vaak is dat ook zo, maar er zijn ook zat makelaars die wel hun werk goed doen & waar bieden voor hun geld. Die zullen dan ook aangesloten zijn bij een beroepsvereniging & zich daardoor ook aan de Nederlandse privacy-wetgeving zullen moeten houden. Als deze beroepsverenigingen zich daar niet aan houden, dan zullen ze daarvoor ter verantwoording geroepen moeten worden.

Tintel @MazDaMan1970 • 5 mei 2022 10:25

dan zullen ze daarvoor ter verantwoording geroepen moeten worden.

Nope - ik heb een officiele klacht ingediend bij de NVM (de beroepsvereniging). Niet eens een reactie...

(betrof een makelaar die opeens de belangen van de koper geen behartigen...waren vrienden...

)

MazDaMan1970 @Tintel • 5 mei 2022 10:32

Dat zijn inderdaad criminele praktijken, hopelijk heb je een rechtsbijstandsverzekering, zodat je het juridisch kan aanvechten.

RobbyTown

@Franky Boy • 4 mei 2022 14:39

Klopt. Voor mijzelf is ook een keer opgevraagd bij de echte (een paar klikken en je hebt het), z'n uitgebreide kost iets van tegen de 30 euro. Je hebt ook van die nep kadaster sites (waar zelfs het woord kadaster in voor komt), beetje apart dat die worden toegestaan en zijn vaak duurder.

Je kunt een deel wissen bij het kadaster

Snel je hypotheek aflossen dan kun je die tegen betaling bij het kadaster laten doorhalen

.
https://www.eigenhuis.nl/...rhalen-bij-het-kadaster#/

Klein nadeeltje heb je dus 3 hypotheken of weet ik hoeveel dan is het dus 3x doorhaal kosten.

Wat mooi zou zijn (geen idee als het er is, zo ja laat het weten), hoe vaak iemand jou gegevens opvraagt.

[Reactie gewijzigd door RobbyTown op 23 juli 2024 16:26]

Simon Weel 4 mei 2022 12:04

Wat me bij dit soort berichten steeds verbaast is dat de nodige applicaties het kennelijk normaal vinden om wachtwoorden in leesbare vorm op te slaan?

gorgi_19 @Simon Weel • 4 mei 2022 12:15

De applicatie kan hier niets aan doen. Volgens de bron op security.nl:

Begin maart ontdekte een onderzoeker van de Consumentenbond dat poort 81 en 82 bij de NWWI openstonden, met daarachter een open directory met directory browsing die alles downloadable aanbood, inclusief perl-scripts, aldus een woordvoerder.

Als mensen wachtwoorden in bestandjes zetten, en deze in een folder plaatsen die per abuis publiek wordt. Daar kan geen enkele applicatie tegenop. De menselijke factor is hier primair het probleem.

kodak

Datalek
Beveiliging en antivirus

@gorgi_19 • 4 mei 2022 12:36

Dat is een dooddoener, aangezien het open zetten van poorten en het niet zorgvuldig omgaan met wachtwoorden hoe dan ook door menselijke factoren komt.
De vraag is dus hoe dan ook waarom men die bestanden daar veilig dacht te plaatsen om die wachtwoorden veilig te houden.

EmbeddedPower @kodak • 4 mei 2022 13:26

Waarschijnlijk omdat 'men' niet nagedacht heeft over het systeem, en omdat de verantwoordelijkheden van de verschillende rollen niet duidelijk waren. De systeembeheerder dacht dat de ontwikkelaar het wel veilig zou maken, de ontwikkelaar dacht dat de gebruiker wel op zn spullen zou letten, de gebruiker dacht...

MazDaMan1970 @EmbeddedPower • 5 mei 2022 10:38

Verkeerde aannames dus vd. verantwoordelijken. Een goede systeembeheerder zal dit ten alle tijden moeten verifiëren. Ik doe dit in ieder geval wel altijd, aangezien je tegenwoordig security op de 1e plaats moet zetten, ook al is het management het daar niet mee eens (vanwege kosten/tijd). In het pre internet-tijdperk was dit amper een issue & heb dan ook vaak slecht beveiligde applicaties aangetroffen in het verleden.

Tintel @kodak • 4 mei 2022 14:14

Eh? Poorten openzetten kan alleen door systeembeheerders toch?

En gebruikers die vervolgens plain-text passwords achter laten op server folders....ai.... super Post-Its dus.

In welke wereld is het veilig om plain-text passwords op te slaan? Local of centraal? De huisdeur-sleutel onder de tuinkabouter bij de voordeur leggen is zelfs minder erg.

Niemand_Anders @Tintel • 4 mei 2022 15:44

Los van de transparent firewall op onze router hebben wij op zowel de windows als linux machines ook gewoon de lokale firewall in gebruik. In het geval van linux een super simple iptables script (-P INPUT DROP en dan een aantal accepts op de INPUT chain voor de services welke je wilt aanbieden).

Standaard linux (shadow) password zijn zeer eenvoudiger te reversen met rainbow tables. Daarnaast zullen er tal van php/perl/python scripts zijn welke verbinding maken met externe services en vaak de credentials in plain text in de code staat. Weinig scripts halen die information uit de cgi-bin env context...

Tintel @Niemand_Anders • 4 mei 2022 15:53

Ik begrijp niet helemaal waar je heen wilt? Dat de firewall ingesteld kan worden door reguliere gebruikers? Maar dan is de reguliere gebruiker wel iemand met relatief veel rechten.

En dat bepaalde systemen nog steeds plain-text passwords gebruiken die in de code staat is nog steeds niet zo erg als tekst-bestandjes op een vrij toegankelijke folder.

Simon Weel @gorgi_19 • 4 mei 2022 12:50

Als mensen wachtwoorden in bestandjes zetten

Maar hoe komen mensen dan aan die wachtwoorden? Even een simpel vergelijk hoe Windows dat doet in een domein. Als een gebruiker zijn wachtwoord opgeeft / aanpast, dan wordt het door Windows (lokaal) verhaspelt en dat verhaspelde wachtwoord gaat over het netwerk richting AD om op te slaan. Dus zelfs als je toegang tot AD hebt, dan kan je niet meer dan verhaspelde wachtwoorden zien - de Domain Controller heeft geen enkele 'weet' van het oorspronkelijke wachtwoord.

Als ik dit soort berichten lees, dan krijg ik het idee dat veel websites waarbij wachtwoorden nodig zijn, die wachtwoorden domweg als 'plain text' opslaan. En ja, dan is het wel erg makkelijk om bij een hack van die website even in de database van die website te grutten om de wachtwoorden boven water te krijgen...

Vizzie @Simon Weel • 4 mei 2022 13:44

Ik denk dat je veel te ingewikkeld denkt: als een gebruiker bestandjes op kan slaan kan die gebruiker een bestandje wachtwoorden.txt aanmaken en daar dingen in typen.

Als vervolgens iemand toegang krijgt tot de bestanden van die gebruiker omdat er poorten open staan…

Botmeister @Vizzie • 4 mei 2022 14:05

One ring account to rule them all, one ring account to find them, one ring account to bring them all, and in the darkness AD bind them.

[Reactie gewijzigd door Botmeister op 23 juli 2024 16:26]

Tintel @Vizzie • 4 mei 2022 14:09

Okay - dat scenario is zeker aannemlijk. Maar dan is er toch nog steeds er goed mis met het instituut (en dan niet perse alleen de ICT aldaar).

GertMenkel

Beveiliging en antivirus

@Simon Weel • 4 mei 2022 14:41

Het gaat hier om wachtwoorden in scripts van externe servers. Dit zijn niet de wachtwoorden om in te loggen op de systemen van de instantie van het datalek.

Net als API keys worden die vaak gehardcode in scripts opgeslagen, ook al wil je daar natuurlijk eigenlijk liever een extern iets voor hebben.

Sommige bedrijven slaan die wachtwoorden op in een database, anderen stoppen het in een magisch .env-bestand, dan heb je de mensen die het vanuit een cronjob in de omgevingsvariabelen stopt, of anderen doen heel moeilijk met cluster deployments en secret management zoals Vault, maar uiteindelijk moet je het wachtwoord ergens een keer plaintext in de code krijgen. Voor een of ander onderhoudsscript van misschien een paarhonderd regels aan API-requests en datatransformatie zou ik geen al te moeilijke beveiliging verwachten, jammer genoeg.

Tintel @GertMenkel • 5 mei 2022 10:27

maar uiteindelijk moet je het wachtwoord ergens een keer plaintext in de code krijgen

Alleen in run-time dan toch? Het staat dus nergens leesbaar vermeld in de code. Zo moet het en zo kan het ook.

GertMenkel

Beveiliging en antivirus

@Tintel • 5 mei 2022 12:46

Je moet toch op een gegeven moment credentials in geheugen hebben en als een script die credentials kan krijgen, kan iemand met een shell ze waarschijnlijk ook krijgen.

Persoonlijk had ik het systeem anders geschreven, namelijk met credentials in een bestand in /etc met de nodige permissies zodat alleen de script-user (en eventueel root) bij die bestanden kan, en met een laag systemd-restricties om dynamisch het user ID te genereren (en niet één centrale user voor alle scripts want dan lezen ze nog elkaars spul uit). Zoiets is vijf minuten werk en vele malen makkelijker dan credentials uitwisselen met een externe password store die je ook nog moet opzetten, en bijna onmogelijk om zo fout te doen dat de credentials zomaar uit een server lekken.

Maar helaas, de wereld hangt aan elkaar met Excel sheets en Perl scripts en ik denk dat ieder bedrijf wel ergens een script heeft met een wachtwoord erin. Zoiets sluipt er na een paar jaar gewoon in en daarom is het verstandig om je scripts regelmatig te auditen.

WillySis 4 mei 2022 11:56

De consumentenbond/Security.nl hebben ook aangetoond dat er wachtwoorden en taxaties waren in te zien. De reactie van de NWWI slaat dus nergens op. Dit is gewoon een enorm gat in de beveiliging waar men zich heel erg diep voor moet schamen en waar een maximale boete voor niet melden van een datalek op zijn plaats is.

gorgi_19 @WillySis • 4 mei 2022 12:03

Ze hebben het lek wel gemeld, volgens het artikel

Ook is het lek gemeld bij de Autoriteit Persoonsgegevens.

friend @gorgi_19 • 4 mei 2022 12:26

Waarschijnlijk ook omdat ze dit wettelijk verplicht zijn. Alles duidt op een zeer slechte en onverschillige organisatie, ook de opmerking dat ze op het punt stonden de website te sluiten is volkomen ongeloofwaardig. Als ze op de hoogte waren van deze kwetsbaarheden hadden ze die in 5 minuten kunnen afsluiten. Helaas zijn er onvoldoende financiële prikkels (boetes/schadevergoeding) om dit soort situaties te voorkomen.

Tintel @friend • 4 mei 2022 14:18

idd - ze stonden op het punt om een niet gebruikte site af te sluiten - die folders nodig heeft die van buitenaf benaderbaar zijn...

En dan stonden in de folder ook nog eens leesbare toegangscodes.... dan zitten we toch echt wel sub-zero qua serieus nemen van afscherming van gevoelige data.

WillySis @gorgi_19 • 4 mei 2022 14:37

Sorry, overheen gelezen.

Alxndr

4 mei 2022 12:22

2022 en nog steeds maken bedrijven die online opereren zulke domme fouten, ongelooflijk... Nog ongeacht van wat er achter die open poort te vinden is is dit niets minder dan gewoon de deur van je winkel/magazijn niet op slot doen.

Waarom hebben zo veel mensen nog steeds moeite om te zien dat een heleboel offline zaken zich 1:1 naar de online wereld laten vertalen?

deuren/poorten doe je op slot en alleen bevoegden hebben een sleutel/password.
je verzekerd en beveiligd je data net zoals je met je inventaris doet
je controleerd periodiek of alles nog in orde is
je laat je adviseren door experts en neemt hun aanbevelingen serieus
je leert van je fouten, als het een keer misgaat doe je er alles aan om een tweede keer te voorkomen

FreezeXJ @Alxndr • 4 mei 2022 12:50

Dit soort fouten zijn goedkoop, je moet ze toch een keer fiksen, dus da's gratis. Voor de rest moet je PR-afdeling een 'sorry not sorry'-tekstje op de site zetten en je moet 30x tegen pers zeggen 'zie ons PR-statement'. Klaar.
Ondertussen kun je hopen dat je wegkomt met al je gerommel, want weet je wel hoe duur developers zijn? Als je neefje het ook kan, is dat veel handiger. Kun je het altijd nog fiksen als het echt niet anders kan.

EmbeddedPower @Alxndr • 4 mei 2022 13:29

Om het in de fysieke wereld met deuren en sloten te trekken, het zal je verbazen bij hoeveel bedrijven de fysieke deuren (voordeur, achterdeur, magazijndeur) wagenwijd openstaan. Of dingen die afgesloten worden met een hangslot met een nummercombinatie, waarvan allereerst iedereen de combinatie kent en ten tweede die zo eenvoudig te kraken zijn dat de code verder ook niet uit maakt.

TMon

@EmbeddedPower • 4 mei 2022 14:13

Fysieke objecten beveiligen is ook vaak een verzekeringskwestie. Geen poging daadwerkelijk alles en iedereen buiten te houden, enkel een vertrager.
vertragers pas je zoveel toe als de verzekering zegt nodig te hebben voor dekking.

Anoniem: 316512 @Alxndr • 4 mei 2022 13:40

Security is voor veel mensen nou eenmaal erg lastig. Hoe vaak ik nog gedeelde sheetjes met wachtwoorden tegen kom. Dat gebeurt vast en zeker op Tweakers ook nog, en dan zijn er mensen die daar nog argumenten voor hebben ook.

Het is voor velen iets ongrijpbaars denk ik.

Tintel @Alxndr • 4 mei 2022 14:20

de deur van je winkel/magazijn niet op slot doen.

Erger nog... hier stonden poorten open. Dit is het "de deur naar het magazijn eruit laten" dus goed zichtbaar dat het open staat en niet een incidentele fout.

rko4u 4 mei 2022 12:41

Het gaat om een oude server en die mogen daarom identiteitsbewijzen lekken?
Het is dus nog schokkender dat deze server dus al jaren onbeveiligd op internet schijnt te staan. Iets met services up to date houden. Reparatie is vaak goedkoper dan nieuwbouw.

Taxatieraporten en kadastergegevens lijken wat minder gevoelig. Het grootste deel daarvan staat immers op internet.

FreezeXJ @rko4u • 4 mei 2022 12:51

"Reparatie is vaak goedkoper dan nieuwbouw."
En negeren is nog goedkoper.

Beetje geldverspillen aan iets dat geen nieuwe features oplevert, hoe durf je het voor te stellen? Daar hebben we geen tijd voor hier.

kodak

Datalek
Beveiliging en antivirus

4 mei 2022 12:57

dat het om een 'oude, niet actieve website' gaat

Of je service is niet actief en dus ook niet online, of het is nog actief terwijl het niet de bedoeling was.

Beweren dat het systeem oud is wil niet zeggen dat de gegevens dus maar verouderd zijn of hoe dan ook niet relevant. Oud wil ook niet zeggen dat het dus maar redelijk is dat het dus online toegankelijk is of misschien een keer in de toekomst pas offline zal worden gehaald.

Het bedrijf lijkt de reactie te gebruiken om de indruk te wekken dat het wel mee valt. Wat verwacht mag worden is dat ze duidelijk tonen waarom ze het online lieten staan en het ook nog allemaal toegankelijk was. Dat tonen ze niet met deze beweringen. Ze lijken meer op zoek te zijn geweest om te doen alsof ze controle hebben, terwijl ze die duidelijk juist al niet hadden en het mogelijk zelfs niet eens lijken te begrijpen dat ze dat niet hadden zoals verplicht is.

henkkeumus 4 mei 2022 11:54

Is er iemand geinformeerd over dat zijn of haar gegeven hierbij getroffen zijn? Ik ben toch wel benieuwd of mijn gegeven hierbijvoorbeeld ook tussen stonden..

koen.g @henkkeumus • 4 mei 2022 12:09

De getroffenen zijn geïnformeerd en er is een onderzoek gestart naar hoe het lek heeft kunnen ontstaan.

SunnieNL

@koen.g • 4 mei 2022 12:20

maar wie zijn getroffenen? De mensen van wie een ID op die website stonden?
Of de huiseigenaren waar een rapport, foto, taxatie van op de site stonden?
Ik zou het als huiseigenaar ook wel willen weten namelijk.

[Reactie gewijzigd door SunnieNL op 23 juli 2024 16:26]

Deleon78 @SunnieNL • 4 mei 2022 12:22

Of de makelaars die het rapport opstelden? Daar heb ik als klant dan weinig aan ja!

ocf81 4 mei 2022 15:17

Ik heb er in 2017-2018 een tijdje gewerkt. Het is een stichting met veel problemen op IT-gebied en destijds was er gewoon geen goede structuur om die op te lossen. Zo te zien zijn de van toen problemen nog steeds de wereld niet uit.

Op dit item kan niet meer gereageerd worden.

NWWI-lek maakte ID's en 'honderdduizenden' huizentaxaties downloadbaar

Lees meer

Reacties (63)

Sorteer op:

Weergave: