Bits of Freedom heeft haar Zwartboek datalekken nog eens bijgewerkt. De gegevens van meer dan 63.000 klanten van de Nederlandse Energiemaatschappij waren tot een paar dagen terug toegankelijk via de website van het bedrijf. Maar hoe ziet zo een datalek in de praktijk er precies uit? In deze uitgebreide blog laten we met afbeeldingen zien hoe verbazingwekkend slecht deze gevoelige gegevens waren beveiligd.

Uit de gegevens die publiek toegangelijk waren kon de persoons-, login- en factuurgegevens van de klanten achterhaald worden. De anonieme bron kon de gegevens met minimale stappen achterhalen.

De ontdekker van het lek vond de gegevens door op zoek te gaan naar een zogenaamde “open directory”. Dit is een gebruikelijke term voor een directory die eigenlijk alleen bedoeld is voor het publiceren van bestanden als plaatjes. Het is dan niet de bedoeling dat de directory zelf ook toegankelijk is. Door een foutieve configuratie van de webserver is een gemakkelijk een overzicht te genereren van alle bestanden in de directory.

Bij de Nederlandse Energiemaatschappij was de directory “/repository” op de website Mijn Energie zo’n open directory.

Ook de onderliggende directory “/repository/tmp”, met daarin veel Excel bestanden, bleek onvoldoende beveiligd. Niet alleen is de inhoud onbedoeld zichtbaar, bovendien is die inhoud ook nog eens zonder een wachtwoord toegangelijk.

De Excel bestanden bevatten elk een lange lijst van klantnummers, e-mailadressen en wachtwoorden. De bestanden zelf en ook de wachtwoorden zijn niet versleuteld.

De meeste bestanden bevatten de gegevens van om en nabij de 63.000 klanten. Deze gegevens zijn op hun beurt weer te gebruiken om in te loggen in het deel van de website waarop klanten de eigen gegevens kunnen inzien. Ook Maurice de Hond, het gezicht in de reclamecampagne van het bedrijf, is klant bij het energiebedrijf (nota bene: dit is al bekendgemaakt door Tweakers, anders zouden we dit uiteraard niet hebben verteld):

En vervolgens konden via deze website de facturen van Maurice de Hond ingezien worden. Deze demonstratie laat zien hoe makkelijk het is om toegang te krijgen tot persoonsgegevens als die niet goed beveiligd zijn. Helaas is NEM niet een uitzondering, maar komt dit veel vaker voor. En als informatie eenmaal op internet gepubliceerd is, dan kan verspreiding niet worden tegengehouden. Het is daarom hoog tijd dat organisaties, groot en klein, hun informatiebeveiliging veel serieuzer nemen.

Bits of Freedom houdt een Zwartboek Datalekken bij om aandacht te vragen voor een groeiend probleem: er wordt steeds meer informatie over ons opgeslagen, en het risico dat de verantwoordelijke de controle over de informatie verliest groeit daarmee ook. Bits of Freedom heeft tegelijkertijd een wetsvoorstel ingediend dat databankbeheerders verplicht om datalekken direct te melden. Zij heeft dat wetsvoorstel toegelicht in een position paper (PDF) (HTML).