Vastgoeddienst van EyeMove gehackt

Hackers zijn erin geslaagd om zich via een kwetsbaarheid toegang te verschaffen tot een vastgoeddienst van automatiseringsbedrijf EyeMove. De hackers konden ruim 300.000 documenten inzien, waaronder kopieën van paspoorten, werkgevers- en bankverklaringen.

Tevens lukte het om tachtig databases bloot te leggen, waarin NAW-gegevens, rekeningnummers en financiële verplichtingen zijn opgeslagen. Het lek is opgemerkt door beveiligingsonderzoeker Nelson Berg. Hij ontdekte het lek toen hij, tijdens zijn inschrijving bij een makelaar, merkte dat de validatie tijdens het uploaden van documenten niet correct werkte.

Uploadprocedure
Door een fout in de uploadprocedure was het mogelijk om via deze functionaliteit een code uit te voeren. Hierdoor konden documenten ingezien worden, inclusief van klanten van andere makelaars die van de dienst gebruikmaken. Nelson Berg heeft EyeMove geïnformeerd over de kwetsbaarheid.

Onderzoek
“We hebben dit lek uiteraard direct gedicht en zijn een uitgebreid onderzoek gestart om te achterhalen of dit lek in het verleden is uitgebuit. Hier hebben we geen enkel spoor van gevonden. Omdat het zonder diepgaande kennis van onze infrastructuur niet mogelijk is om de sporen hiervan compleet te wissen, zijn wij ervan overtuigd dat deze mogelijkheid niet is misbruikt. Ondanks deze vaststelling hebben we toch besloten om alle privacygevoelige documenten te voorzien van nieuwe, niet te traceren, bestandsnamen zodat een eventueel gelekte lijst ook niet meer bruikbaar zou zijn,” aldus een reactie op de website van EyeMove.

Aanmelden voor onze nieuwsbrief