Een Brits makelaarskantoor heeft een boete van omgerekend 89.000 euro gekregen voor het lekken van klantgegevens via een onbeveiligde ftp-server. Persoonlijke gegevens van bijna 19.000 klanten waren voor iedereen op internet toegankelijk, waaronder bankafschriften, salarisgegevens, kopieën van paspoorten en rijbewijzen, e-mailadressen, adresgegevens en geboortedata van zowel huurders als verhuurders.

Om bestanden met een partnerorganisatie te delen had de makelaar een ftp-server opgezet. In eerste instantie werd de ftp-server gebruikt voor het uitwisselen van foto's. De makelaar en partnerorganisatie besloten om de server voor een ander doel in te zetten. De makelaar configureerde de server op een verkeerde manier waardoor anonieme toegang werd ingesteld. Iedereen kon zodoende zonder wachtwoord inloggen. Daarnaast was de communicatie met de server niet versleuteld.

Ook waren er geen toegangsbeperkingen ingesteld, waardoor alle gebruikers, waaronder mensen die anoniem inlogden, volledige toegang tot de data op de ftp-server hadden. De blootgestelde data op de ftp-server bestond uit 60 verschillende documentcategorieën, waarvan er 52 persoonlijke data bevatten. Uiteindelijk bleek dat de gegevens van 18.610 mensen risico hebben gelopen. Analyse van de logbestanden liet zien dat er 512.000 keer door anonieme gebruikers was ingelogd, afkomstig van 1213 unieke ip-adressen. Het grootste deel was afkomstig van hetzelfde ip-adres en er wordt aangenomen dat het om een programma ging.

"Uit ons onderzoek blijkt dat de makelaar medewerkers niet had getraind, die een onveilig systeem voor bestandsoverdracht verkeerd configureerden en gebruikten en het vervolgens niet monitorden. Door deze tekortkomingen zijn klanten blootgesteld aan mogelijk identiteitsfraude. Bedrijven moeten accepteren dat ze een juridische verplichting hebben om persoonlijke data die ze ontvangen te beschermen", aldus Steve Eckersley van de ICO.