Bij het Nederlands Woning Waarde Instituut (NWWI) is een groot datalek gevonden door de Consumentenbond. Via het lek waren honderdduizenden taxatierapporten en miljoenen andere privédocumenten van Nederlandse consumenten te bekijken, aldus de bond. Het lek is inmiddels gedicht.
Begin maart wist een onderzoeker van de Consumentenbond via een gat in de beveiliging toegang te krijgen tot de broncode en de logbestanden van het NWWI. Hij vond onder andere wachtwoorden en IP-adressen van banken en verzekeraars. Plus zo’n 20 miljoen verwijzingen waaruit werkende url’s te herleiden waren.
Vindbaar via Google
Via deze url’s kon de onderzoeker ongehinderd talloze taxatierapporten, kadastergegevens, eigendoms- en splitsingsaktes en foto’s (o.a. van gebreken aan huizen) inzien en downloaden. In enkele gevallen kon hij ook kopieën van identiteitsbewijzen inzien en downloaden. Naast het lek in de beveiliging bleken veel pagina’s door Google geïndexeerd en dus vindbaar via de zoekmachine.
‘Oude website’
Volgens het NWWI betrof het lek een oude, niet actieve website die op het punt stond te worden afgesloten. Het NWWO betreurt de zaak ten zeerste en heeft onderzoek gedaan naar de oorzaak. Dit onderzoek heeft volgens haar uitgewezen dat er naast de Consumentenbond geen andere partij is geweest die het lek heeft gevonden of misbruik heeft gemaakt van deze omissie in het systeem.
“Gelukkig betrof het slechts 15 dossiers”, zegt het NWO verder, “waarbij er slechts in beperkte mate sprake is geweest van persoonsgegevens. Wij hebben betreffende partijen geïnformeerd over dit incident en hen tevens op de hoogte gebracht van het feit dat wij diverse additionele beveiligingsmaatregelen hebben getroffen. Ook delen wij u mee dat wij dit incident bij de Autoriteit Persoonsgegevens hebben gemeld.”
‘Niet de eerste keer’
Het is niet de eerste keer dat de beveiliging bij het NWWI faalt, aldus de Consumentenbond. In 2018 ontdekte de bond dat het bedrijf zogenoemde raadbare url’s gebruikte, die bestonden uit een vast deel en een getal van 14 cijfers. Kwaadwillenden konden oneindig getallen raden tot ze werkende links vonden, waarna ze de taxatierapporten en andere documenten konden bekijken. Na de waarschuwing beperkte het NWWI het aantal toegestane pogingen.
Het NWWI valideert (keurt) taxatierapporten van woningen van aangesloten taxateurs en ziet erop toe dat elke taxatie uniform en volgens duidelijk richtlijnen is opgesteld. Zo’n 4650 van de ongeveer 7000 taxateurs die zijn aangesloten bij het Nederlands Register Vastgoed Taxateurs maakt gebruik van de diensten van het NWWI. Zij slaan hun rapporten en tal van andere documenten bij het NWWI op, waarna consumenten ze via een persoonlijke link kunnen inzien.
Bron: Consumentenbond, NWWI
