Miljoenen financiële transacties, de waarde van tal van panden en logingegevens van huizenkopers waren toegankelijk door een hack waardoor 70 procent van NVM-makelaars getroffen is.
De problemen spelen bij Realworks, een jointventure van makelaarsvereniging NVM en BaseGroup BV. Het bedrijf levert een online administratieve oplossing voor makelaars. In het systeem kan een volledige administratie worden bijgehouden.
Volledige toegang
Via een lek in verouderde software wist de hacker toegang te krijgen tot een beheerderswachtwoord van het platform waar de administratieve software draait. Vervolgens waren ook de gegevens in de databases te achterhalen.
Op deze manier was er toegang tot alle administraties die het bedrijf namens de makelaarskantoren voert. Het gaat om miljoenen financiële transacties variërend van courtage voor het verkopen van een pand tot reguliere bedrijfsuitgaven. Ook informatie over bepaalde woningprijzen was toegankelijk net als de waarde van panden op postcode.
Een ander probleem was dat de hacker ook toegang had tot de manier van inloggen in het systeem, waardoor de broncode van de website te achterhalen was. Hierdoor is het in theorie mogelijk om ook de wachtwoorden van 150.000 klanten van makelaars volledig te ontcijferen. Daarnaast was de e-mailinbox van 8.000 huizenverkopers toegankelijk.
Samenwerken
Meteen na melding heeft Realworks maatregelen genomen om verdere problemen te voorkomen. Via NU.nl communiceert de hacker met het bedrijf om de fouten te vinden en te verhelpen. Ook is een beveiligingsbedrijf ingeschakeld. Het bedrijf is niet van plan aangifte te doen.
“Ik vind het vervelend, maar ben blij dat we zo aan een oplossing kunnen werken”, stelt Theo Dorresteijn, directeur van Realworks, tegenover NU.nl. “Uiteraard zijn wij zeer ongelukkig met deze situatie. Realworks heeft na eerste melding 2 januari om 9:30 direct adequate maatregelen genomen in het belang van haar klanten.”
Complexe keten
Volgens Mattijs van Ommeren, eigenaar van beveiligingsbedrijf Alycon, gaat het bij het systeem om een complexe keten van verantwoordelijkheden. “Het lijkt alsof niemand voldoende regie heeft genomen over de beveiliging”, aldus Van Ommeren tegenover NU.nl.
“Dan vallen de onderdelen bij een hack om alsof het dominostenen zijn. Hier moet goed worden nagedacht hoe de dienst wel veilig aangeboden kan worden.”
Van Ommeren stelt in zijn praktijk dit soort fouten van dienstverleners in de cloud vaker tegen te komen en noemt het beeld ‘herkenbaar’. Hij adviseert gebruikers van de online diensten van de makelaars de wachtwoorden te veranderen. Ook op andere plekken waar hetzelfde wachtwoord wordt gebruikt, is het verstandig het wachtwoord te veranderen.
De hacker stelt tegenover NU.nl bij toeval op het lek te zijn gestuit. “Ik wilde eens weten of makelaarskantoren hun beveiliging wel op orde hebben. Het is toch gevoelige informatie”, betoogt de persoon. “Opeens bleek er een grotere verbindende factor te zijn.” ==> www.papiervernietiging.nu