Afgelopen maand was Woonkracht10 het doelwit van hackers. De aanvallers claimen dat ze gegevens hebben buitgemaakt en dreigen deze openbaar te maken. De woningcorporatie uit Zwijndrecht heeft het incident gemeld bij de Autoriteit Persoonsgegevens.
Dat verklaart Woonkracht10 in een persbericht.
Woonkracht10 onderzoekt mogelijk datalek
In het weekend van 22 en 23 april wisten hackers het computersysteem van de woningcorporatie uit Zuid-Holland binnen te dringen. Hoe ze dat is gelukt, is onbekend. De aanval had in ieder geval geen effect op de bedrijfsvoering.
Nadat de digitale inbraak aan het licht kwam, hebben medewerkers van Woonkracht10 direct maatregelen genomen om de gevolgen te beperken. Tevens schakelde de woningcorporatie een extern cybersecuritybureau in om de oorzaak en de gevolgen van de aanval in kaart te brengen. Ook kijken de beveiligingsonderzoekers of er gegevens zijn gestolen, en zo ja welke. Of er gegevens van huurders, medewerkers of andere betrokken zijn ontvreemd, kan de woningcorporatie op dit moment niet uitsluiten.
De cybercriminelen die verantwoordelijk zijn voor de aanval, dreigen de gestolen gegevens op het internet te publiceren. Woonkracht10 belooft om er alles aan te doen om de data van stakeholders te beschermen. De woningcorporatie heeft het voorval gemeld bij de Autoriteit Persoonsgegevens. Tevens is er aangifte gedaan bij de politie.
Meerdere woningcorporaties slachtoffer van datalek
Woonkracht10 is niet de eerste woningcorporatie die dit jaar mogelijk het slachtoffer is van datadiefstal. Eind maart werd Stadgenoot getroffen door een datalek. Uit voorzorg waarschuwde de Amsterdamse woningcorporatie 15.000 huurders over het incident. Tevens adviseerde de corporatie om alert te zijn voor nepbrieven, phishingberichten en telefoontjes van oplichters.
Naast Stadgenoot waarschuwden ook Vivare uit Arnhem en Haag Wonen uit Den Haag hun huurders voor een mogelijk datalek. Zij vertelden dat er mogelijk persoonsgegevens als namen, woonadressen en contactgegevens waren gestolen. Wachtwoorden, bankgegevens en bijzondere persoonsgegevens waren nadrukkelijk niet buitgemaakt.
VPNGids.nl heeft Woningkracht10 een aantal vragen gesteld over de cyberaanval. Zodra wij een reactie krijgen van de woningcorporatie, zullen we dit artikel updaten.
Meerdere slachtoffers, maar andere oorzaak
De hierboven genoemde woningcorporaties waren niet direct het doelwit van een cyberaanval. Hackers slaagden er eind maart in om de interne systemen van softwareleverancier Nebu B.V. te infiltreren. In opdracht van de woningcorporaties legde dat bedrijf klanttevredenheidsonderzoeken af. Antwoorden en persoonsgegevens werden door de softwareontwikkelaar verzameld en verwerkt. Door het datalek zijn de persoonsgegevens van mogelijk miljoenen Nederlanders in handen gekomen van hackers en cybercriminelen.
Naast de woningcorporaties zijn onder meer de NS, VodafoneZiggo, Heineken, CZ, het Internationaal Film Festival Rotterdam (IFFR), de Koninklijke Nederlandse Golf Federatie (NGF), ArboNed, ProRail, het Rotterdamse leerlingenvervoersbedrijf Trevvel, de Nationale Postcode Loterij, de Rijksdienst voor Ondernemend Nederland (RVO), pensioenfondsen PME en PFZW, en de Hogeschool van Amsterdam de dupe van het datalek.
Update (8 mei 2023): op Twitter wordt gesuggereerd dat de ransomwaregroep Play achter de cyberaanval op Woonkracht10 zit. De hackers zouden de woningcorporatie tot 6 mei de tijd hebben gegeven om losgeld te betalen. Zo niet, dan dreigt de groep de buitgemaakte gegevens openbaar te maken. De woningcorporatie heeft niet gereageerd op deze beweringen.
Play was eind vorig jaar verantwoordelijk voor de problemen in Antwerpen. Door een ransomware-aanval waren veel diensten niet beschikbaar voor burgers en ambtenaren. Medewerkers van de gemeente konden geen gebruikmaken van Windows-applicaties. Parkeervergunningen en nationaliteitsaanvragen konden niet via de gemeenteloketten worden afgehandeld. Tevens kon men online geen tickets kopen voor theatervoorstellingen en musea, of boeken lenen bij bibliotheken. Tot slot kunnen handhavers enkele maanden lang geen parkeerboetes uitschrijven.
Update (9 mei 2023): in een reactie laat Woonkracht10 aan VPNGids.nl weten dat de hackersgroep Play de aanval heeft opgeëist. De woningcorporatie gaat ervan uit dat de daders gegevens van huurders, medewerkers en andere stakeholders hebben buitgemaakt, al kan ze dat op dit moment niet met zekerheid zeggen. Externe beveiligingsonderzoekers kijken hoe de aanval tot stand is gekomen.
Het huisvestingsbedrijf heeft op dit moment nog geen idee hoeveel slachtoffers er zijn gevallen door de cyberaanval. Zodra er hier meer duidelijkheid over is, worden gedupeerden op de hoogte gebracht. Woonkracht10 kan op dit moment nog niets zeggen over de technische en organisatorische maatregelen die ze heeft genomen om herhaling in de toekomst te voorkomen.
In een updatebericht zegt Woonkracht10 dat de organisatie heeft besloten om losgeld te betalen. “Wij doen al het mogelijke om de data van onze huurders, medewerkers en andere betrokkenen te beschermen onder deze moeilijke omstandigheden. Na een zorgvuldige afweging besloten wij om met de aanvaller afspraken te maken over het verwijderen van onze data. Wij betaalden losgeld”, aldus de woningcorporatie.
