Belastingsamenwerking West-Brabant (BWB) heeft vanwege een IDOR-kwetsbaarheid de gegevens van belastingplichtigen gelekt. Het veranderen van een getal in een URL volstond om namen, adressen en WOZ-beschikkingen van andere belastingbetalers te benaderen.
Gerechtelijke vonnissen in schuldhulpsaneringszaken, inclusief naam en toenaam van personen, waren eveneens in te zien. Nieuwssite BN DeStem meldde dit afgelopen vrijdag. BWB voegde eraan toe dat er “enige ICT-kennis” was vereist om misbruik van de kwetsbaarheid te maken.
Insecure direct object references
Het gaat hier om een Insecure direct object references (IDOR)-beveiligingslek. Dit doet zich voor als een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder toegangscontrole, zoals authenticatie.
Contactformulier
“Dit lek is veroorzaakt door een contactformulier dat we nog niet zo lang geleden aan onze website hebben toegevoegd. Met dat formulier zijn zo’n 400 documenten geüpload. Maar dat zijn we nu aan het uitzoeken”, zegt directeur Peter Stoffelen. Hij voegt eraan toe dat het om een enorme fout gaat.
Datalek
Belastingsamenwerking West-Brabant heeft via haar website toelichting gegeven over het lek. Volgens de organisatie is de kans heel gering dat onbevoegden de informatie hebben bekeken. “Maar we kunnen het niet uitsluiten. Het datalek heeft een kort tijd op de website gestaan en is inmiddels gedicht,” aldus BWB.
Klik hier voor het bericht op de website van Belastingsamenwerking West-Brabant.