Lek bij vastgoeddienst gaf toegang tot duizenden persoonlijke gegevens

Door een lek in een vastgoeddienst van automatiseringsbedrijf EyeMove konden hackers toegang krijgen tot 304.186 documenten. Onder de documenten bevonden zich onder meer kopieën van paspoorten, werkgeversverklaringen en bankverklaringen.

Daarnaast was het mogelijk om tachtig databases bloot te leggen, ontdekte beveiligingsonderzoeker Nelson Berg. In die database staan onder meer NAW-gegevens, rekeningnummers en financiële verplichtingen.

Berg vond de kwetsbaarheid toen hij zich inschreef bij een makelaar. Daar moest hij documenten voor uploaden, maar er bleek een fout te zitten in de uploadfunctionaliteit.

Die fout was te misbruiken om toegang te krijgen tot de documenten van alle gebruikers van de dienst. Daaronder vallen ook klanten van andere makelaars. Het ging om een validatieprobleem, waardoor het mogelijk was om code uit te voeren via de uploadtool.

Lek gedicht

Berg zegt geen gevoelige bestanden te hebben binnengehaald. Via metadata achterhaalde hij om wat voor bestanden het precies ging. De beveiligingsonderzoeker heeft het lek gemeld bij EyeMove, die het dezelfde dag nog dichtte. 

Een woordvoerder van EyeMove bevestigt dat de kwetsbaarheid gemeld en gedicht is. Volgens het bedrijf is de data niet door criminelen ingezien. EyeMove doet onderzoek en bepaalt op basis daarvan of een melding bij de Autoriteit Persoonsgegevens vereist is.

Lees meer over:
Tip de redactie