Lek bij NWWI: honderdduizenden taxatierapporten in te zien
Rapporten woningtaxacties

Lek bij NWWI: honderdduizenden taxatierapporten in te zien

04-05-2022 06:49 Laatste update: 09:33

Het Nederlands Woning Waarde Instituut (NWWI) heeft een beveiligingslek gedicht. Door het lek waren honderdduizenden taxatierapporten en miljoenen andere privédocumenten in te zien.

De Consumentenbond waarschuwde het NWWI voor het lek, waarna actie is ondernomen. Het NWWI keurt rapporten van woningtaxaties van aangesloten taxateurs.

Een onderzoeker van de Consumentenbond ontdekte dat de digitale beveiliging van de organisatie niet in orde was. Het lukte hem om toegang te krijgen tot de broncode en logbestanden.

"Daar vond hij onder andere wachtwoorden en IP-adressen van banken en verzekeraars. En zo’n 20 miljoen verwijzingen waaruit werkende webadressen te herleiden waren", zegt de Consumentenbond. Veel pagina’s waren door Google geïndexeerd en daardoor vindbaar via de zoekmachine. Taxateurs slaan rapporten en documenten bij het NWWI op, waarna ze consumenten ze via een link kunnen inzien. 

'Oude website'

"Het betrof een oude, niet actieve, website die op het punt stond te worden afgesloten", zegt het NWWI in een reactie. "Wij betreuren dit incident ten zeerste en hebben direct actie ondernomen om herhaling in de toekomst te voorkomen." Het beveiligingslek was volgens het instituut 'binnen een half uur' gedicht. "Ook zijn wij direct een intern onderzoek gestart naar de vraag hoe dit kon gebeuren."

Volgens het instituut zou geen enkele partij, anders dan de Consumentenbond, misbruik hebben gemaakt van het beveiligingslek. Partijen van wie de dossiers door de onderzoeker van de Consumentenbond zijn ingezien zijn hiervan op de hoogte gebracht.

Niet de eerste keer

Het is niet de eerste keer dat het NWWI is gewaarschuwd vanwege slechte beveiliging. In 2018 ontdekte de Consumentenbond dat kwaadwillenden met een beetje doorzettingsvermogen taxatierapporten en andere documenten konden bekijken. Dat kon door oneindig bepaalde getallen te raden tot ze werkende links vonden. Na die waarschuwing paste het NWWI de beveiliging al aan.

Het instituut heeft het incident ook gemeld bij de Autoriteit Persoonsgegevens. Ruim 4600 taxateurs maken gebruik van de diensten van het NWWI.