Accountantskantoor voldoet nu aan AVG
Een gerenommeerd accountantskantoor met 200+ zakelijke klanten ontdekte dat hun klantportaal ernstige beveiligingslekken bevatte die konden leiden tot schending van de AVG.
Bedrijf B
Accountancy
25 medewerkers
Scan Resultaten
Vertrouwelijke gegevens in gevaar
Bedrijf B is een middelgroot accountantskantoor in de Randstad met 25 medewerkers en meer dan 200 zakelijke klanten. Ze beheren jaarrekeningen, belastingaangiftes en salarisadministraties - allemaal uiterst gevoelige financiële informatie.
Vijf jaar geleden investeerden ze in een op maat gemaakt klantportaal waarmee klanten documenten kunnen uploaden en inzien. Het portaal was destijds "state of the art", maar had sindsdien weinig onderhoud gehad.
Toen een klant klaagde dat hij documenten van een ander bedrijf kon zien, sloeg de paniek toe. Was dit een incident of een structureel probleem? De directie besloot direct een professionele security audit te laten uitvoeren.
"We realiseerden ons dat we met vuur hadden gespeeld," vertelt de managing partner. "Een datalek met financiële gegevens van 200 bedrijven zou het einde van ons kantoor betekenen."
Wat we ontdekten
De scan bracht 12 beveiligingsproblemen aan het licht - meer dan gemiddeld, maar helaas niet ongebruikelijk voor legacy systemen.
Insecure Direct Object Reference (IDOR)
Door simpelweg het klantnummer in de URL te wijzigen kon elke ingelogde gebruiker documenten van andere klanten bekijken en downloaden. Dit was precies wat de klant had gemeld.
Voorbeeld:
/portal/documenten.php?klant_id=1234 → /portal/documenten.php?klant_id=1235
Onbeveiligde documentenmap
Alle geüploade documenten werden opgeslagen in een publiek toegankelijke map zonder authenticatie. Met directory listing ingeschakeld waren alle 15.000+ documenten vindbaar via Google.
Potentiële impact:
- • 15.000+ financiële documenten
- • Jaarrekeningen, BTW-aangiftes
- • Salarisstroken van werknemers
Wachtwoorden in platte tekst
Alle 200+ klant wachtwoorden werden opgeslagen zonder enige vorm van hashing. Bij een datalek zouden alle wachtwoorden direct bruikbaar zijn voor aanvallers.
Dit is een directe overtreding van artikel 32 van de AVG (passende technische maatregelen).
Geen sessie-timeout
Sessies bleven onbeperkt actief. Een medewerker die vergat uit te loggen op een gedeelde computer gaf potentieel wekenlang toegang tot alle klantgegevens.
Aanvullende bevindingen (8)
Geen HTTPS
Login en documenten werden over HTTP verstuurd.
Verouderde PHP
PHP 5.6 met bekende kwetsbaarheden.
Geen audit logging
Geen registratie van wie wat bekeek.
XSS kwetsbaarheden
3 formulieren kwetsbaar voor XSS.
Volledige herbouw van het portaal
Gezien de ernst en het aantal bevindingen adviseerden we een gefaseerde aanpak. De kritieke problemen werden binnen een week verholpen, waarna een volledige herbouw van het portaal volgde.
Het nieuwe portaal werd gebouwd met security-by-design principes: role-based access control, bcrypt password hashing, verplichte 2FA voor alle gebruikers, en uitgebreide audit logging.
Belangrijker nog: we hielpen bij het opstellen van een incident response plan en een dataverwerkingsregister, waarmee het kantoor nu volledig AVG-compliant is.
AVG-compliance checklist
- Versleutelde data-opslag
- Toegangscontrole per gebruiker
- Uitgebreide audit logging
- Incident response procedure
Voor: Legacy Portaal
- • Wachtwoorden in platte tekst
- • Geen toegangscontrole op documenten
- • HTTP zonder encryptie
- • Geen logging van activiteiten
- • PHP 5.6 (end of life)
Na: Modern Beveiligd Portaal
- • bcrypt hashing + verplichte 2FA
- • Role-based access control (RBAC)
- • TLS 1.3 met HSTS
- • Volledige audit trail
- • PHP 8.2 met security patches
"Achteraf schaam ik me dat we zo lang met zo'n onveilig systeem hebben gewerkt. Whitehat Security heeft niet alleen de problemen gevonden, maar ons ook geholpen met een structurele oplossing. Onze klanten kunnen er nu op vertrouwen dat hun gegevens veilig zijn."
Anoniem
Managing Partner, Bedrijf B
Bekijk meer use cases
Ontdek hoe we andere bedrijven hebben geholpen