Een fout bij OpenSyndic, een online platform voor syndicus-diensten, maakt dat facturen, verslagen en juridische documenten een tijdlang makkelijk vindbaar waren via Google. Het probleem is intussen opgelost.
OpenSyndic is een platform waar een syndicus facturen aan het gebouw, reglementen of andere documenten vlot kan delen met de bewoners van een pand. Het wordt volgens het bedrijf achter het platform, 3XC, kort voor Cloud Computer Company, gebruikt door zo’n vierhonderd Syndici.
Een lezer van Data News en bewoner van zo’n pand merkte op dat links naar facturen in het platform zonder autorisatie te bekijken waren. Dat is geen groot probleem zolang die links niet zomaar te achterhalen zijn, maar een beetje creatief zoeken op Google gaf al snel toegang tot tientallen documenten die bij OpenSyndic onbeveiligd in te kijken waren.
Het gaat onder meer over verslagen van algemene vergaderingen, inclusief namen van aanwezigen en gezien de materie ook hun adres, eigendomsverhoudingen, maar ook facturen van advocaten rond ingebrekestellingen.
Inschattingsfout
De lezer in kwestie contacteerde vorige week zowel zijn eigen syndicus en vervolgens ook 3XC. Sindsdien zijn de documenten niet meer raadpleegbaar en ook het OpenSyndic platform was daardoor enkele dagen onbereikbaar.
In een reactie aan Data News zegt 3XC, het bedrijf achter OpenSyndic, dat het op de hoogte werd gebracht van het probleem en dat het meteen werd opgelost, zelf spreekt men van ‘een kleine inschattingsfout’. Het bedrijf zegt ook dat intussen de nodige autoriteiten en de klanten zijn ingelicht van het incident.
In eerste instantie waren de documenten in kwestie niet langer opzoekbaar in Google. Maar via de cache in de zoekmachines kon Data News dinsdagavond achterhalen dat het nog steeds mogelijk was om geïndexeerde documenten deels te zien. Onze redactie kon onder meer namen van bepaalde syndici terugvinden, of hun leveranciers (elektriciens, schoonmaakbedrijven, installateurs van alarmsystemen), maar geen volledige documenten en dus ook geen gevoelige gegevens of factuurbedragen.
Geen hack, maar risico blijft onduidelijk
Het gaat in dit geval niet om bijvoorbeeld een inbreuk in de systemen waar criminelen met zekerheid gegevens stelen. Mogelijk is crimineel misbruik ook net voorkomen omdat de lezer in kwestie het probleem meldde en 3XC daar snel op heeft gereageerd. Maar of de gegevens intussen ook elders circuleren, mochten kwaadwilligen het datalek ook hebben ontdekt, is niet zeker.
Data onbeveiligd online bewaren gebeurt helaas wel vaker en de omvang van een systeem heeft daar weinig mee te maken. Zo gebeurde het tot enkele jaren geleden regelmatig dat data bewaard bij AWS door een slechte instelling vaak openbaar bleef staan.
Fout opgemerkt of meer nieuws? Meld het hier