Cybercriminelen maken 30.000 klantgegevens buit van Amsterdamse woningcorporatie

Gepubliceerd op 26 februari 2021 om 07:00

De Amsterdamse 'woningcorporatie Stadgenoot' is het slachtoffer geworden van een hacker. Persoonsgegevens van zo’n 30.000 klanten zijn buitgemaakt door de dader(s). Het datalek is inmiddels gedicht en gemeld bij de Autoriteit Persoonsgegevens.

Stadgenoot is een van de grotere woningcorporaties in de hoofdstad. Het bedrijf, ontstaan door een fusie tussen twee Amsterdamse woningcorporaties in 2008, verhuurt dertigduizend sociale huurwoningen aan mensen met een lager inkomen. Ook heeft de woningcorporatie enkele duizenden huurwoningen in de vrije sector, parkeerplaatsen en bedrijfsruimten in beheer.

Stadgenoot verkoopt eveneens woningen. De opbrengst wordt gebruikt om bestaande woningen en buurten te verbeteren en nieuwe woningen bij te bouwen. Er werken ruim driehonderd medewerkers bij de woningcorporatie.

Mensen met een laag inkomen of middeninkomen, maar ook nieuwkomers en mensen die zorgondersteuning nodig hebben kunnen bij Stadgenoot terecht. Als zij een betaalbare woning zoeken in Amsterdam, kunnen zij hun gegevens achterlaten op de website van de woningcorporatie. Als zij een account aanmaken, kunnen ze reageren op een huur- of koopwoning en parkeerplek.

Gevoelige gegevens

Wie een account aanmaakt bij Stadgenoot, moet persoonlijke informatie over zichzelf delen, waaronder voor- en achternaam, woonadres en contactgegevens. Dit zijn zaken die niet in de verkeerde handen mogen vallen. Oplichters kunnen deze gegevens misbruiken om identiteitsfraude te plegen, maar ook om gerichte phishing berichten te versturen -ook wel spearphishing genoemd- om zo nog meer persoonsgegevens buit te maken.

Helaas ging het onlangs goed mis. Enige tijd geleden -wanneer precies wil de woningcorporatie niet zeggen- is de website van Stadgenoot gehackt. Bij de hackaanval zijn persoonsgegevens van maximaal 30.000 klanten buitgemaakt. Een woordvoerder van de Amsterdamse woningcorporatie laat weten dat het om namen, adressen en e-mailadressen gaat. In sommige gevallen zijn ook kentekennummers en indicaties van jaarsalarissen gestolen. Koopovereenkomsten staan op een andere server en zijn dan ook niet buitgemaakt.

Wie er achter de aanval zit, is onbekend. Tegenover NRC zegt Stadgenoot dat alle slachtoffers woensdag per e-mail op de hoogte zijn gebracht van het datalek. In het bericht adviseert de woningcorporatie gedupeerden om alert te zijn voor phishingmails, nep brieven en telefoontjes van oplichters.

Het lek op de website is volgens de woordvoerder gedicht en gerapporteerd bij de Autoriteit Persoonsgegevens. De toezichthouder besluit vervolgens of ze al dan niet een onderzoek instelt naar het datalek. Bedrijven, stichtingen, verenigingen en andere instanties waarbij bedrijfs- of privacygevoelige gegevens van klanten zijn gestolen, moeten dit binnen 72 uur doorgeven aan de privacywaakhond.

Datalekken

Met enige regelmaat worden we opgeschrikt door datalekken als bij Stadgenoot. De Amsterdamse woningcorporatie is dan ook niet de enige waar recentelijk persoonsgegevens van klanten op straat zijn beland. Afgelopen maand waren de privégegevens van zo’n 16.000 Viruswaarheid-aanhangers die de petitie ‘Stop de lockdown’ hadden ondertekend, tijdelijk voor iedereen toegankelijk. Het lek was naar eigen zeggen ontstaan bij herstelwerkzaamheden na een DDoS-aanval die vlak daarvoor plaatsvond. Voor de zekerheid is het lek gemeld bij de Autoriteit Persoonsgegevens.

Begin februari werd de online retailer 'Allekabels.nl' geconfronteerd met een datalek. Een medewerker die van huis uit werkte, stal persoonsgegevens van ongeveer 5.000 klanten. Naar aanleiding van het incident heeft de verkoper zijn interne systemen strenger beveiligd. Vanaf maart worden e-mailadressen van klanten niet langer zonder encryptie gedeeld met partners. Allekabels.nl heeft het datalek gemeld bij de toezichthouder.

Tot slot bleek eerder deze maand dat onbevoegden maandenlang de gegevens van Blokker-klanten konden raadplegen door een IDOR-kwetsbaarheid. ‘IDOR’ staat voor Insecure Direct Object References. Dat houdt simpel gezegd in dat iemand door wat aanpassingen te doen in de URL-balk zomaar de gegevens van een ander kan inzien, omdat er geen aanvullende authenticatie plaatsvindt. Voor- en achternaam, adresgegevens, telefoonnummers en bestelgeschiedenissen van honderdduizenden klanten waren zodoende voor iedereen toegankelijk.

Elke zondag publiceren wij een overzicht van de datalekken die bekend zijn van de afgelopen week, wil je geen datalekken nieuws meer missen, schrijf je dan in voor onze wekelijkse (gratis) nieuwsbrief.

Bron: nrc.nl, vpngids.nl

Meer info over ‘datalekken’?

Tips of verdachte activiteiten gezien? Meld het hier of anoniem.

Datalek gerelateerde berichten

2020 Data Breach Investigations Report

Ieder jaar kijk ik uit naar het databreach rapport van Verizon, wat mij betreft een van de betere cyber security rapporten in de industrie. Sinds dit jaar heeft het team de CIS and MITRE ATT&CK controls gebruikt voor de mapping en ook dit jaar is het weer een waar feest om te lezen. Is het een book full of FUD? Wél als je maling hebt aan fatsoenlijke omgang met persoonsgegevens of als je niet van plan bent een euro uit te geven aan het voorkomen van cyber attacks. Níet als je al jarenlang met je poten in de klei loopt en op dagdagelijkse basis ziet wat er mis blijft gaan. Daar gaan we..

Lees meer »

Datalekken verdubbeld in 2018

In 2018 zijn er 20.881 datalekken gemeld bij de Autoriteit Persoonsgegevens (AP). Het aantal meldingen is meer dan verdubbeld. De meeste datalekken werden gemeld door organisaties uit de sectoren zorg en welzijn, openbaar bestuur en financiële dienstverlening. Het aantal meldingen overstijgt het eerder geschatte aantal fors.

Lees meer »

«   »