Het Nederlands Woning Waarde Instituut (NWWI) is getroffen door een datalek. Daardoor waren honderdduizenden waardebepalingen en miljoenen andere privédocumenten van Nederlanders tijdelijk online te bekijken. Het lek is intussen door het NWWI gedicht.
Een onderzoeker van de Consumentenbond, de Nederlandse tegenhanger van Test Aankoop, wist begin maart via een gat in de beveiliging toegang te krijgen tot de broncode en logbestanden van het NWWI. Daar trof hij onder meer wachtwoorden en IP-adressen van banken en verzekeraars aan. Ook stuitte de onderzoeker op zo’n twintig miljoen verwijzingen waaruit werkende URL’s te herleiden waren. Via die links kon de Consumentenbond waardebepalingen, kadastergegevens, eigendomsaktes en foto’s van onder meer gebreken aan woningen inzien.
Identiteitsbewijzen online
In enkele gevallen waren ook identiteitsbewijzen van woningbezitters zichtbaar. Veel pagina’s bleken bovendien door Google te zijn geïndexeerd, waardoor ze vindbaar zijn via de zoekmachine. Het NWWI heeft het lek inmiddels gedicht. Het instituut werkt naar eigen zeggen niet langer met statische URL’s, en ook de indexering in Google werd verwijderd.
Het NWWI publiceerde op zijn website de volgende verklaring over het datalek: ‘Op 9 maart jongstleden zijn wij door de Consumentenbond op de hoogte gesteld van het feit dat zij een beveiligingslek hadden ontdekt op een van onze websites en toegang hadden verkregen tot een deel van onze gegevens. Het betrof een oude, niet actieve website die op het punt stond te worden afgesloten’.
Geen misbruik
Het instituut zegt verder het incident ten zeerste te betreuren en direct actie te hebben ondernomen om herhaling te voorkomen. Er is ook een intern onderzoek gestart naar het ontstaan van het datalek. Volgens het NWWI heeft geen enkele partij misbruik gemaakt van ‘de omissie in het systeem’.
In samenwerking met Dutch IT-channel.
