Website Amsterdamse woningcorporatie Stadgenoot gehackt

Bedrijfsbusje van de Amsterdamse woningcorporatie Stadgenoot

De Amsterdamse woningcorporatie Stadgenoot is het slachtoffer geworden van een hacker. Persoonsgegevens van zo’n 30.000 klanten zijn buitgemaakt door de dader(s). Het datalek is inmiddels gedicht en gemeld bij de Autoriteit Persoonsgegevens.

Dat schrijft NRC.

Dit moet je weten over Stadgenoot

Stadgenoot is een van de grotere woningcorporaties in de hoofdstad. Het bedrijf, ontstaan door een fusie tussen twee Amsterdamse woningcorporaties in 2008, verhuurt dertigduizend sociale huurwoningen aan mensen met een lager inkomen. Ook heeft de woningcorporatie enkele duizenden huurwoningen in de vrije sector, parkeerplaatsen en bedrijfsruimten in beheer.

Stadgenoot verkoopt eveneens woningen. De opbrengst wordt gebruikt om bestaande woningen en buurten te verbeteren en nieuwe woningen bij te bouwen. Er werken ruim driehonderd medewerkers bij de woningcorporatie.

Mensen met een laag inkomen of middeninkomen, maar ook nieuwkomers en mensen die zorgondersteuning nodig hebben kunnen bij Stadgenoot terecht. Als zij een betaalbare woning zoeken in Amsterdam, kunnen zij hun gegevens achterlaten op de website van de woningcorporatie. Als zij een account aanmaken, kunnen ze reageren op een huur- of koopwoning en parkeerplek.

Deze gegevens hebben de hackers gestolen

Wie een account aanmaakt bij Stadgenoot, moet persoonlijke informatie over zichzelf delen, waaronder voor- en achternaam, woonadres en contactgegevens. Dit zijn zaken die niet in de verkeerde handen mogen vallen. Oplichters kunnen deze gegevens misbruiken om identiteitsfraude te plegen, maar ook om gerichte phishingberichten te versturen -ook wel spearphishing genoemd- om zo nog meer persoonsgegevens buit te maken.

Helaas ging het onlangs goed mis. Enige tijd geleden -wanneer precies wil de woningcorporatie niet zeggen- is de website van Stadgenoot gehackt. Bij de hackaanval zijn persoonsgegevens van maximaal 30.000 klanten buitgemaakt. Een woordvoerder van de Amsterdamse woningcorporatie laat weten dat het om namen, adressen en e-mailadressen gaat. In sommige gevallen zijn ook kentekennummers en indicaties van jaarsalarissen gestolen. Koopovereenkomsten staan op een andere server en zijn dan ook niet buitgemaakt.

Lek is gedicht en gemeld bij de Autoriteit Persoonsgegevens

Wie er achter de aanval zit, is onbekend. Tegenover NRC zegt Stadgenoot dat alle slachtoffers woensdag per e-mail op de hoogte zijn gebracht van het datalek. In het bericht adviseert de woningcorporatie gedupeerden om alert te zijn voor phishingmails, nepbrieven en telefoontjes van oplichters.

Het lek op de website is volgens de woordvoerder gedicht en gerapporteerd bij de Autoriteit Persoonsgegevens. De toezichthouder besluit vervolgens of ze al dan niet een onderzoek instelt naar het datalek. Bedrijven, stichtingen, verenigingen en andere instanties waarbij bedrijfs- of privacygevoelige gegevens van klanten zijn gestolen, moeten dit binnen 72 uur doorgeven aan de privacywaakhond.

Datalekken komen regelmatig voor in Nederland

Met enige regelmaat worden we opgeschrikt door datalekken als bij Stadgenoot. De Amsterdamse woningcorporatie is dan ook niet de enige waar recentelijk persoonsgegevens van klanten op straat zijn beland. Afgelopen maand waren de privégegevens van zo’n 16.000 Viruswaarheid-aanhangers die de petitie ‘Stop de lockdown’ hadden ondertekend, tijdelijk voor iedereen toegankelijk. Het lek was naar eigen zeggen ontstaan bij herstelwerkzaamheden na een DDoS-aanval die vlak daarvoor plaatsvond. Voor de zekerheid is het lek gemeld bij de Autoriteit Persoonsgegevens.

Begin februari werd de online retailer Allekabels.nl geconfronteerd met een datalek. Een medewerker die van huis uit werkte, stal persoonsgegevens van ongeveer 5.000 klanten. Naar aanleiding van het incident heeft de verkoper zijn interne systemen strenger beveiligd. Vanaf maart worden e-mailadressen van klanten niet langer zonder encryptie gedeeld met partners. Allekabels.nl heeft het datalek gemeld bij de toezichthouder.

Tot slot bleek eerder deze maand dat onbevoegden maandenlang de gegevens van Blokker-klanten konden raadplegen door een IDOR-kwetsbaarheid. ‘IDOR’ staat voor Insecure Direct Object References. Dat houdt simpel gezegd in dat iemand door wat aanpassingen te doen in de URL-balk zomaar de gegevens van een ander kan inzien, omdat er geen aanvullende authenticatie plaatsvindt. Voor- en achternaam, adresgegevens, telefoonnummers en bestelgeschiedenissen van honderdduizenden klanten waren zodoende voor iedereen toegankelijk.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen