© Screenshot Google Maps.
Het kantoor van AltijdWonen.nl.
Datalek Altijd Wonen: tienduizenden wachtwoorden op straat
Door een datalek bij huurmakelaar Altijd Wonen liggen de e-mailadressen, wachtwoorden en telefoonnummers van zo'n 49.000 Nederlanders op straat. Het bedrijf heeft de website per direct offline gehaald en het lek gemeld bij de Autoriteit Persoonsgegevens.
RTL Nieuws ontving een anonieme tip met daarin gegevens van klanten van Altijd Wonen. Klanten schrijven zich bij de website in omdat ze een woning willen huren, of juist verhuren. Het bedrijf, met kantoren in Utrecht en Amsterdam, biedt woningen aan in de randstad.
Gelekte data
De volledige namen, e-mailadressen, telefoonnummers en wachtwoorden waren jarenlang voor anderen in te zien. Het is onduidelijk of andere, mogelijk criminele hackers de data hebben buitgemaakt. Volgens Altijd Wonen is daar momenteel geen aanwijzing voor.
Gevoelig punt is dat ook de wachtwoorden van gebruikers zijn gelekt. Volgens Altijd Wonen zijn de wachtwoorden door de website aangemaakt. RTL Nieuws heeft dat niet kunnen verifiëren. Het is onduidelijk of criminele hackers deze wachtwoorden kunnen gebruiken om andere online diensten over te nemen.
Hoe kwam dit datalek tot stand?
Altijd Wonen maakt gebruik van verouderde technologieën die vaak al jaren niet zijn geüpdatet. Eén van de gevaarlijkste onderdelen van de website is het gebruik van het sterk verouderde PHP 5.3.10 (afkomstig uit februari 2012), dat onder andere verantwoordelijk is voor het verwerken van gebruikersdata.
De wachtwoorden zijn gehasht, wat inhoudt dat het wachtwoord als een lange reeks tekens wordt opgeslagen. Maar omdat Altijd Wonen gebruikmaakt van een sterk verouderde hashing-technologie (MD5), zijn deze zeer gemakkelijk te kraken.
RTL Nieuws heeft het datalek geverifieerd en steeksproefgewijs de gelekte gegevens gecontroleerd bij de gedupeerden.
Hoedje
Altijd Wonen heeft het datalek bevestigd en direct maatregelen genomen. "Ik schrik me echt een hoedje", zegt eigenaar Arno Hage tegen RTL Nieuws. "We zijn al een tijdje druk bezig met de nieuwe website, want de huidige is aan vernieuwing toe." De huidige website is, samen met de database met daarin alle gegevens, tot nader order offline gehaald.
Hage stelt altijd op zijn leveranciers te vertrouwen: "Ik heb weinig verstand van al die technische dingen. Ik wist dat de website verouderd was, maar niet dat dit zomaar kon. Dat had natuurlijk nooit mogen gebeuren."
Altijd Wonen heeft het datalek bij de Autoriteit Persoonsgegevens gemeld en gaat aangifte doen van de hack.
Wachtwoorden
Datalekken komen vaak voor en regelmatig in het nieuws. Het is vervelend als je gegevens plotseling voor iedereen inzichtelijk zijn. Het is daarom belangrijk om je online accounts goed te beschermen, zodat criminele hackers met een gelekt wachtwoord jouw accounts niet kunnen overnemen.
Je kunt daarvoor het beste unieke wachtwoorden gebruiken, het liefst voor elke website een ander. Die wachtwoorden kun je onthouden met een zogeheten password manager. Ook kun je een boekje gebruiken. Op de website Laat Je Niet Hack Maken vind je allerlei tips om jezelf online te beschermen.