Gepubliceerd: 
Laatste update: 
3 januari 2013 09:57
3 januari 2013 11:30

NVM-makelaars lekken miljoenen transacties

AMSTERDAM - Miljoenen financiële transacties, de waarde van tal van panden en logingegevens van huizenkopers waren toegankelijk door een hack waar 70 procent van NVM-makelaars door getroffen is.

Foto:  Thinkstock

Dat meldt een hacker aan NU.nl op voorwaarde van anonimiteit.

De problemen spelen bij Realworks, een jointventure van makelaarsvereniging NVM en BaseGroup BV. Het bedrijf levert een online administratieve dienst voor makelaars. In het systeem kan een volledige administratie worden bijgehouden.

Zo'n 70 procent van alle NVM-makelaren is klant van het bedrijf. Realworks heeft in samenwerking met de hacker inmiddels maatregelen getroffen.

Volledige toegang

Via een lek in verouderde software wist de hacker toegang te krijgen tot een beheerderswachtwoord van het platform waar de administratieve software draait. Vervolgens waren ook de gegevens in de databases te achterhalen.

Op deze manier was er toegang tot alle administraties die het bedrijf namens de makelaarskantoren voert. Het gaat om miljoenen financiële transacties, variërend van courtage voor het verkopen van een pand tot reguliere bedrijfsuitgaven. De hacker kon ook bij informatie over bepaalde woningprijzen en de waarde van panden op postcode.

Daarnaast was er toegang tot de manier van inloggen in het systeem, waardoor de broncode van de website te achterhalen was. Hierdoor is het in theorie mogelijk om ook de wachtwoorden van 150.000 klanten van makelaars volledig te ontcijferen. Bovendien was de e-mailinbox van 8000 huizenverkopers toegankelijk.

Samenwerken

Meteen na melding heeft Realworks maatregelen genomen om verdere problemen te voorkomen. Via NU.nl communiceert de hacker met het bedrijf om de fouten te vinden en te verhelpen. Ook is een beveiligingsbedrijf ingeschakeld. Het bedrijf is niet van plan aangifte te doen.

"Ik vind het vervelend, maar ben blij dat we zo aan een oplossing kunnen werken", stelt Theo Dorresteijn, directeur van Realworks, tegenover NU.nl. "Uiteraard zijn wij zeer ongelukkig met deze situatie. Realworks heeft na eerste melding 2 januari om 9.30 uur direct adequate maatregelen genomen in het belang van haar klanten."

Complexe keten

Volgens Mattijs van Ommeren, eigenaar van beveiligingsbedrijf Alycon, gaat het bij het systeem om een complexe keten van verantwoordelijkheden. "Het lijkt alsof niemand voldoende regie heeft genomen over de beveiliging", aldus Van Ommeren tegenover NU.nl.

"Dan vallen de onderdelen bij een hack om alsof het dominostenen zijn. Hier moet goed worden nagedacht hoe de dienst wel veilig aangeboden kan worden."

Van Ommeren stelt in zijn praktijk dit soort fouten van dienstverleners in de cloud vaker tegen te komen en noemt het beeld 'herkenbaar'. Hij adviseert gebruikers van de online diensten van de makelaars de wachtwoorden te veranderen. Ook op andere plekken waar hetzelfde wachtwoord wordt gebruikt, is het verstandig het wachtwoord te veranderen.

De hacker stelt tegenover NU.nl bij toeval op het lek te zijn gestuit. "Ik wilde eens weten of makelaarskantoren hun beveiliging wel op orde hebben. Het is toch gevoelige informatie", betoogt de persoon. "Opeens bleek er een grotere verbindende factor te zijn."

Door: NU.nl/Brenno de Winter

Lees meer over

Eerdere berichten

Eerder

Wifi-ballon

Googles wifi-ballon is in 22 dagen de wereld rondgereisd.

Bekijk de wifi-ballon
Banner NUjournaal Tech

Privé-Vine's

Het is voortaan mogelijk om privé-video's te versturen naar andere Vine-gebruikers.

Lees verder

Beste apps

Reis terug in de tijd van je sociale leven, hou makkelijk bij welke films er draaien en typ sneller dan ooit met de beste apps van de week.

Lees meer