image

NWWI lekte via open directory honderdduizenden taxatierapporten

woensdag 4 mei 2022, 10:22 door Redactie, 8 reacties

Het Nederlands Woning Waarde Instituut (NWWI) heeft via een open directory honderdduizenden taxatierapporten en andere privédocumenten van Nederlandse burgers gelekt, zo laat de Consumentenbond tegenover Security.NL weten. Begin maart ontdekte een onderzoeker van de Consumentenbond dat poort 81 en 82 bij de NWWI openstonden, met daarachter een open directory met directory browsing die alles downloadable aanbood, inclusief perl-scripts, aldus een woordvoerder.

De onderzoeker trof ook wachtwoorden aan, ip-adressen van banken en verzekeraars en zo’n twintig miljoen verwijzingen waaruit werkende url’s te herleiden waren. Via deze url’s kon de onderzoeker ongehinderd talloze taxatierapporten, kadastergegevens, eigendoms- en splitsingsaktes, foto’s (onder andere van gebreken aan huizen) en in enkele gevallen ook kopieën van identiteitsbewijzen inzien en downloaden. De Consumentenbond waarschuwde het NWWI, waarna het lek werd gedicht.

Naast de open directory bleken veel pagina’s door Google te zijn geïndexeerd en vindbaar via de zoekmachine. Het NWWI werkt inmiddels niet meer met statische url’s en heeft de indexering door Google laten verwijderen. Het NWWI zegt het lek te hebben gemeld bij de Autoriteit Persoonsgegevens.

In 2018 ontdekte de Consumentenbond dat het NWWI gebruikmaakte van raadbare url’s, die bestonden uit een vast deel en een getal van veertien cijfers. Kwaadwillenden konden oneindig getallen raden tot ze werkende links vonden, waarna ze de taxatierapporten en andere documenten konden bekijken. Na de waarschuwing beperkte het NWWI het aantal toegestane pogingen.

Het NWWI valideert (keurt) taxatierapporten van woningen van aangesloten taxateurs en ziet erop toe dat elke taxatie uniform en volgens duidelijk richtlijnen is opgesteld. Zo’n 4650 van de ongeveer 7000 taxateurs die zijn aangesloten bij het Nederlands Register Vastgoed Taxateurs maakt gebruik van de diensten van het NWWI. Deze taxateurs slaan hun rapporten en tal van andere documenten bij het NWWI op, waarna burgers ze via een persoonlijke link kunnen inzien.

Update

In een verklaring op de eigen website met het NWWI dat het datalek zich voordeed in een oude, niet actieve website die op het punt stond te worden afgesloten. "Het beveiligingslek was binnen een half uur nadat wij erop waren gewezen door ons hersteld. Ook zijn wij direct een intern onderzoek gestart naar de vraag hoe dit kon gebeuren", aldus de verklaring.

"Dit onderzoek heeft tevens uitgewezen dat er geen enkele partij is geweest, anders dan de Consumentenbond, die het beveiligingslek heeft geconstateerd of misbruik heeft gemaakt van deze omissie in het systeem. Gelukkig betrof het slechts 15 dossiers, waarbij er slechts in beperkte mate sprake is geweest van persoonsgegevens", zo laat het NWWI verder weten.

Reacties (8)
04-05-2022, 11:13 door Anoniem
Na de waarschuwing beperkte het NWWI het aantal toegestane pogingen.
Is er ook een berekening gemaakt van hoe groot een botnet dan moet zijn om toch nog prijs te kunnen schieten?
04-05-2022, 11:20 door Anoniem
Volgens het NWWI: 'Het betrof een oude, niet actieve, website die op het punt stond te worden afgesloten.'
Dus of spreken ze niet de waarheid en stond het helemaal niet op het punt om te worden afgesloten en is de site gewoon blijven staan en vergeten (zoals vaker gebeurd), of wisten ze van de kwetsbaarheden, en zou het 'op het punt' niet langer dan 5 minuten hoeven te duren. Zwak excuus in beide gevallen.
04-05-2022, 12:16 door Anoniem
Meer digitaal, meer, meer, meer.
Elke keer weer ligt de data gewoon op straat. En elke keer weer blijft de organisatie die het veroorzaakt gewoon bestaan.
04-05-2022, 13:08 door Anoniem
"Dit onderzoek heeft tevens uitgewezen dat er geen enkele partij is geweest, anders dan de Consumentenbond, die het beveiligingslek heeft geconstateerd of misbruik heeft gemaakt van deze omissie in het systeem"... maar: "Naast de open directory bleken veel pagina’s door Google te zijn geïndexeerd en vindbaar via de zoekmachine"... Hoeveel bezoekers zijn er via Google binnen gekomen zonder in de gaten te hebben dat ze naar documenten zaten te kijken die niet toegankelijk hadden mogen zijn...? En waarom heeft een "oude, niet actieve website" een werkende koppeling met de taxatierapporten en andere gegevens...?
04-05-2022, 14:04 door Anoniem
Door Anoniem:En waarom heeft een "oude, niet actieve website" een werkende koppeling met de taxatierapporten en andere gegevens...?

Omdat de IT bij veel bedrijven een zooitje is, en er net zolang met een kaasschaaf over de vereiste IT-uitgaven wordt gegaan totdat het minimum is bereikt en de zaak niet omvalt. Totdat de tent in de fik staat. Dan komt er een slap excuus, plakken we wat pleisters zonder dat er structureel iets verbetert, en dóóór. Helaas al zo vaak gezien, zelfs bij gerenommeerde bedrijven.

We moeten beseffen dat veel bedrijven IT bedrijven zijn geworden. Het budget en de kennis moeten navenant zijn. Het besef van het eerste punt is bij veel bedrijven nog lang niet ingedaald. Het tweede punt is een utopie. Gevolg: wachten op de volgende melding op deze site. Er zullen nog duizenden meldingen volgen, no worries!
04-05-2022, 16:37 door Anoniem
NWWI lekte via open directory honderdduizenden taxatierapporten
Stelletje amateurs.
04-05-2022, 20:15 door Anoniem
Door Anoniem: "Dit onderzoek heeft tevens uitgewezen dat er geen enkele partij is geweest, anders dan de Consumentenbond, die het beveiligingslek heeft geconstateerd of misbruik heeft gemaakt van deze omissie in het systeem"... maar: "Naast de open directory bleken veel pagina’s door Google te zijn geïndexeerd en vindbaar via de zoekmachine"... Hoeveel bezoekers zijn er via Google binnen gekomen zonder in de gaten te hebben dat ze naar documenten zaten te kijken die niet toegankelijk hadden mogen zijn...?
Als ze over de logbestanden van de webserver beschikken kunnen ze precies zien welke requests zijn binnengekomen. Met die gegevens is dit prima controleerbaar. Met de mededeling dat ze dit onderzoek hebben gedaan zeggen ze impliciet dat ze het onderzoek konden doen en dus dat ze alle benodigde webserverlogs nog hadden. Ik kan niet beoordelen of dat ook echt waar is, maar het is zeker mogelijk.
En waarom heeft een "oude, niet actieve website" een werkende koppeling met de taxatierapporten en andere gegevens...?
Ik weet niet precies wat ik me bij "zo’n twintig miljoen verwijzingen waaruit werkende url’s te herleiden waren" moet voorstellen, maar met werkende URLs kan je gewoon dingen op het internet opvragen. Dat is geen koppeling tussen servers, en er is dan ook geen koppeling actief gehouden tussen de server waar het om ging en andere servers. Het waren gewoon URLs, de tekst die je in de adresbalk van je browser ziet staan.
04-05-2022, 22:59 door Anoniem
"Dit onderzoek heeft tevens uitgewezen dat er geen enkele partij is geweest, anders dan de Consumentenbond, die het beveiligingslek heeft geconstateerd of misbruik heeft gemaakt van deze omissie in het systeem...
Dat was een eenvoudig en snel onderzoek! Na dat telefoontje van de Consumentenbond was het 'onderzoek' begonnen en gelijk afgesloten. Het "rapport" schrijven nam nog de meeste tijd in beslag.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.