Groot gegevenslek: namen, adressen van miljoenen woningbezitters in te zien, en al verhandeld
- Pro-accounts voor besloten deel van Kadaster simpel te spoofen, ontdekt RTL Nieuws.
- Ruim 6 miljoen geregistreerde woonadressen waren daardoor vrijelijk te doorzoeken.
- Dit blijkt al jaren te kunnen en de gevoelige gegevens worden ook verhandeld.
- Lees ook: Software kan gevoelige gegevens duizenden studenten niet wissen
Volledige namen en woonadressen van miljoenen Nederlanders waren zomaar te doorzoeken en op te vragen door onbevoegden. Het Kadaster blijkt de vergaande toegang voor bijvoorbeeld notarissen en gerechtsdeurwaarders slecht te hebben beveiligd. Privacytoezichthouder AP draagt het Kadaster op om dit ernstige lek direct te dichten, maar misbruik is al aan de orde, meldt RTL Nieuws.
Het is kinderlijk eenvoudig om toegang te krijgen tot het afgeschermde deel van het Kadaster, schrijft cybersecurityjournalist Daniël Verlaan naar aanleiding van nieuw onderzoek dat RTL Nieuws heeft verricht. Daar valt gevoelige informatie te halen zoals volledige namen en woonadressen van Nederlanders, waaronder ook mensen die worden bedreigd.
Professionele gebruikers: iedereen
Het Kadaster, een van overheidswege bijgehouden openbaar register van onder meer onroerende zaken zoals woningen, heeft een besloten deel met daarin een uitgebreide zoekfunctie. Dat deel is alleen toegankelijk voor gebruikers met een professioneel account, maar het aanmaken daarvan is zó gedaan en verificatie lijkt totaal te ontbreken.
"De enige vorm van controle voor toegang tot deze zoekfunctie is het vragen om een KVK-nummer en naam - beide openbaar te vinden via, jawel, de KVK", meldt Verlaan in een tweet op het social network dat voorheen Twitter heette. De pro-accounts en het besloten deel van het Kadaster zijn bedoeld voor functionarissen die officieel meer informatie over roerende zaken nodig hebben. Denk aan makelaars, advocaten, notarissen en deurwaarders.
Bedreigers, stalkers
Privacytoezichthouder AP (Autoriteit Persoonsgegevens) reageert geschokt op dit grote gegevenslek. "Dit lek vormde een groot gevaar voor bedreigde journalisten, activisten en politici", zegt AP-voorzitter Aleid Wolfsen tegen RTL Nieuws. "Maar ook iedereen die te maken heeft met een boze, stalkende ex. Er kon zomaar opeens iemand op de stoep staan om hen te bedreigen, of erger." De AP heeft het Kadaster meteen opgedragen dit lek te dichten, wat inmiddels ook is gedaan. RTL-journalist Verlaan meldt nog dat publicatie nu van het artikel anderhalve week heeft gewacht, tot het lek echt dicht was.
Het Kadaster stelt dat de controle op profesionele accounts per direct 'significant is versterkt', aldus een woordvoerder. "Het Kadaster vindt deze signalen over mogelijk misbruik van de toegang tot gegevens uitermate zorgelijk", verklaart die tegen RTL Nieuws. Volgens Verlaan is er in de praktijk al sprake van handel in gegevens die langs deze weg zijn verkregen.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonneeOp https://photos.app.goo.gl/qBan1ngkU3NAL8GF8 is wat research informatie te vinden bij dit onderwerp. In de referenties onder de covers van de research rapporten is bijvoorbeeld de Cyber Security Management video lecture https://vimeo.com/146253570 te vinden.
Overal zitten fouten in software. Om nu elke gevonden fout als een crisis en affaire te gaan benaderen is wat ver gezocht.
Ik lees dat er wat te gemakkelijk accounts aangemaakt konden worden.
Uitgebreide identificatie met authenticatie was en is to nu toe problematisch.
Wegens de AVG en meningen de AP moet dat met de minst mogelijke privacy inbreuk, lees onvoldoende controle op juiste persoon.
Met de Woz en BAg welke wettelijk openbaar zijn valt eveneens veel te achterhalen.
Een echt onderzoek naar wat er speelt en wat de echte bronnen zijn onbreekt helaas