Lek15: woningzoekers in de Bijlmer - UPDATE

De website Bijlmerparkmijnpark.nl heeft de volledige NAW-gegevens (naam, adres, woonplaats) van 477 woningzoekenden gelekt. Van die mensen was ook informatie toegankelijk over hun gezinssamenstelling en de hoogte van de maandelijkse huur dan wel de hoogte van het aankoopbedrag voor hun woning. Die woningdata zit in de database van de park-site. De gemeente heeft de gehele site snel offline gehaald, nadat Webwereld de tip over de lek doorspeelde.

CMS-logins

Naast die gevoelige gegevens lekte deze site van het Stadsdeel Zuidoost ook de logins voor vier beheerdersaccounts van het gebruikte CMS (content management system). Tot slot waren nog de mailadressen voor de nieuwsbrief buit te maken, tipt de ontdekker van dit lek aan Webwereld.

De aanmeldoptie voor nieuwsbrieven ontbrak maandagmiddag op de site, maar de nieuwsbrieven zelf waren daar toen nog wel te vinden, in PDF-formaat. Maandagnamiddag is de hele site offline gehaald, direct na Webwerelds melding van het lek aan de verantwoordelijke partijen.

De webmanager van het Stadsdeel Zuidoost laat weten dat deze website niet direct onder de gemeente valt. De promotiesite voor het nieuw aangelegde Bijlmerpark valt onder De Wijde Blik. Dat communicatiebureau heeft de promotiecampagne voor het verbouwde park verzorgt, maar de website niet ontwikkeld.

'Oude site'

"We hebben de aanmeldmogelijkheid zojuist (tijdelijk) eruit gehaald", reageert directeur Arjan Kaashoek van De Wijde Blik. "We zoeken het uit en komen er z.s.m. bij je op terug." Dat blijkt geen loze belofte: Webwereld wordt openlijk meegenomen in de mailwisseling tussen het communicatiebureau, de webmanager van het Stadsdeel en de gemeentelijke parkmanager voor het Bijlmerpark.

"Het gaat om een oude site, die nog maar weinig wordt gebruikt nu het project is afgesloten", zegt Kaashoek in zijn eerste antwoord op vragen van Webwereld. "Toevallig wilde ik een dezer dagen net gaan vragen aan [parkmanager - red.] Susanne van Kooy hoe om te gaan met deze website. Ik zal dan ook meenemen waar de registratiemogelijkheid voor woningzoekenden wordt ondergebracht."

Woningbouwplannen

Van Kooy, parkmanager voor het Bijlmerpark, laat aan Kaashoek en Webwereld weten dat de lekkende site wel weg kan. "Daar moeten we het zeker nog even over gaan hebben. Ik denk dat we de website moeten gaan opheffen."

Zij geeft ook een verklaring voor de aanwezigheid van woningregistratiegegevens: er waren namelijk ooit plannen voor woningbouw rondom het verbouwde park. "Wat betreft de aanmelding voor woningzoekenden die mag er helemaal uit! De woningbouw is in de ijskast gezet dus aanmelden heeft geen enkele zin."

'Direct verwijderd'

Jeroen Bosma van webdeveloper De Heren Van mengt zich ook in deze Lektober-kwestie. "Wij hebben enkele jaren geleden (2006) deze tijdelijke website gerealiseerd in opdracht van De Wijde Blik te Amsterdam. De website is al enige tijd niet meer actief in gebruik maar we hebben uit voorzorg direct (16:04) alle (data) tabellen in overleg met onze klant verwijderd."

In zijn aanvankelijke mailreactie gaf hij al aan: "Er is hier intern direct een onderzoek gestart naar de plek waarop de injectie kon plaatsvinden, deze hebben wij echter nog niet (16:08) kunnen achterhalen. Alle gevoelige plekken zijn voorzien van middelen om injectie te voorkomen (addslashes of mysql_real_escape_string). Ook passen we MD5-codering toe om te voorkomen dat wachtwoorden op straat komen te liggen."

Over het hoofd gezien

"De gegevens in de database zijn afkomstig van een vrijblijvend inschrijfformulier waar mensen konden aangeven of ze interesse hadden in toekomstige woningbouw. Dit project is echter komen te vervallen."

Bosma geeft telefonisch nog aan dat 'oude site' geen excuus is. Hij stelt: "SQL-injectie was toen ook wel bekend. Dit is slordig en had nooit mogen gebeuren." Hij houdt nog wel een slag om de arm, omdat hij het aan Webwereld getipte SQL-injectielek zelf nog niet boven water heeft. De door een hacker aangedragen url komt volgens hem namelijk niet voor in de database van de site.

"We zijn heel benieuwd welk formulier er toegepast is! Blijkbaar zien wij iets over het hoofd. Daarom, dank voor de melding, wij nemen dit hoog op." Directeur Kaashoek van het communicatiebureau vult aan: "Wij wisten beslist niet van het lek, anders hadden we zeker de database offline gezet. Ik heb dus inderdaad snel gehandeld na jouw alarm, waarvoor dank."

Gedupeerden gemaild

Kaashoek meldt nog: "De woningbouw is voorlopig echter uitgesteld en wel dermate lang, dat onze opdrachtgever Stadsdeel Zuidoost heeft besloten de registratie te stoppen, alle gegevens uit de database te wissen en de geregistreerden vlak daarvoor nog een mail te sturen waarin we hen hierover informeren." Dat laatste is volgens plan afgelopen dinsdag gebeurd.

Jeroen Bosma van webdeveloper De Heren Van benadrukt nog dat de wachtwoorden voor het CMS-beheer versleuteld zijn opgeslagen. De wachtwoorden waren dus niet open en bloot toegankelijk. "Login-gegevens zijn bij ons altijd gecodeerd."

Verder spreekt hij tegen dat er concrete, individuele huur- en hypotheekbedragen zijn uitgelekt. Woningzoekenden konden op het invoerformulier aangeven in welk bereik zij een huur- of koopwoning zoeken. De daarbij te kiezen velden hadden een breed bereik, vertelt Bosma. Hij is werkzaam bij De Heren Van en niet bij het per abuis genoemde bedrijf De Helden Van (QRC), ook een webdeveloper.

Verder is communicatiebureau De Wijde Blik de eigenaar van de domeinnaam en bedenker van de promotiecampagne. Het verzorgt niet de eigenlijke hosting van de website. Ook toegevoegd dat Bosma nog wil weten waar het ontdekte lek exact zit; de door Webwerelds tipgever aangedragen url zit volgens hem niet in de database van site, die dus al wel offline is gehaald.

Kijk voor alle artikelen in het kader van Lektober op onze dossierpagina.