Makelaarskantoor beschermd tegen datalekken
Een regionaal makelaarskantoor ontdekte dat vertrouwelijke klantdocumenten - waaronder koopaktes en hypotheekgegevens - publiek bereikbaar waren via hun website.
Bedrijf D
Vastgoed
12 medewerkers
Scan Resultaten
Vertrouwelijke documenten op Google
Bedrijf D is een gevestigd makelaarskantoor in een middelgrote gemeente. Met 12 medewerkers en een jaarlijks volume van ruim 400 woningtransacties verwerken zij dagelijks gevoelige financiele documenten: koopaktes, taxatierapporten, hypotheekaanvragen en identiteitsbewijzen.
Om het verkoopproces te versnellen hadden ze een klantportaal laten bouwen waar kopers en verkopers documenten konden uploaden en ondertekenen. Het portaal draaide al twee jaar probleemloos - althans, dat dachten ze.
De wake-up call kwam toen een concurrent hen belde: "Ik heb net een koopakte van jullie gevonden via Google. Staat vol met persoonlijke gegevens." Dit was het moment dat ze beseften dat er iets grondig mis was.
Bijzonderheid:
Makelaars vallen onder het toezicht van de NVM en moeten voldoen aan strenge privacyregels. Een datalek kan leiden tot royement uit de beroepsvereniging.
Wat we ontdekten
De scan bracht 6 beveiligingsproblemen aan het licht, waarvan de documentenmap het meest urgent was.
Directory listing ingeschakeld
De uploadmap voor klantdocumenten had directory listing ingeschakeld. Iedereen die de URL kende kon alle bestanden zien en downloaden - en Google had de map geindexeerd.
Blootgestelde documenten:
- • 847 koopaktes met handtekeningen
- • 312 taxatierapporten
- • 156 kopieën identiteitsbewijzen
- • 423 hypotheekdocumenten
Voorspelbare bestandsnamen
Documenten werden opgeslagen met voorspelbare namen: transactie_001.pdf, transactie_002.pdf, etc. Een aanvaller kon simpelweg alle transactienummers doorlopen om elk document te downloaden.
Voorbeeld URL:
/uploads/documenten/transactie_001.pdf
/uploads/documenten/transactie_002.pdf
... etc.
Standaard CMS wachtwoorden
Het content management systeem gebruikte nog de standaard admin credentials die bij installatie waren ingesteld. Meerdere admin accounts hadden wachtwoorden als "admin123" en "welkom01".
Geen SSL/TLS encryptie
Het klantportaal draaide volledig over HTTP. Alle uploads van identiteitsbewijzen en andere gevoelige documenten werden onversleuteld over het internet verzonden.
Overige bevindingen (2)
Geen logging van downloads
Er was geen systeem om te registreren wie welke documenten had gedownload, wat forensisch onderzoek onmogelijk maakte.
Ontbrekende security headers
Belangrijke headers zoals X-Content-Type-Options en X-Frame-Options ontbraken.
Directe actie, blijvende verbetering
De eerste actie was het offline halen van de documentenmap - dit gebeurde binnen een uur na het rapport. Vervolgens werd Google gevraagd de gecachte pagina's te verwijderen via een spoedverzoek.
In de weken daarna werd het volledige documentbeheer herontworpen. Documenten worden nu opgeslagen met cryptografisch veilige bestandsnamen en zijn alleen toegankelijk via een beveiligd portaal met authenticatie.
Daarnaast werden alle medewerkers getraind in veilig documentbeheer en werd een procedure opgezet voor het veilig delen van gevoelige informatie met klanten.
Geimplementeerde maatregelen
-
UUID-gebaseerde bestandsnamen
Documenten krijgen nu willekeurige, niet te raden bestandsnamen.
-
Verplichte authenticatie
Documenten alleen toegankelijk na inloggen met 2FA.
-
TLS 1.3 encryptie
Alle communicatie verloopt nu volledig versleuteld.
-
Uitgebreide audit logging
Elke download wordt geregistreerd met timestamp en IP.
-
Automatische document verwijdering
Documenten worden 90 dagen na transactie automatisch verwijderd.
"De schaamte toen ik hoorde dat onze klantdocumenten gewoon op Google stonden... Die vergeet ik nooit meer. Gelukkig heeft Whitehat Security ons geholpen dit snel en grondig op te lossen. Onze klanten verdienen privacy en die krijgen ze nu."
Anoniem
Directeur, Bedrijf D
Bekijk meer use cases
Ontdek hoe we andere bedrijven hebben geholpen