De gegevens van meer dan 33.000 huurders bij de Amsterdamse woningcorporatie Stadgenoot zijn op internet gepubliceerd. Het gaat onder meer om contactgegevens en wachtwoorden. De gegevens zijn afkomstig van een datalek uit 2021.
Dat schrijft techjournalist Daniël Verlaan op X, het platform dat tot voor kort bekend was als Twitter (1).
In februari 2021 was Stadgenoot het doelwit van een cyberaanval. De aanvallers slaagden erin om de interne systemen van de woningcorporatie binnen te dringen en privacygevoelige informatie van huurders te bemachtigen. Hackers wisten de hand te leggen op namen, woonadressen, e-mailadressen, kentekennummers en jaarsalarissen, zo bevestigde een woordvoerder.
Alle slachtoffers werden per e-mail op de hoogte gebracht van de gebeurtenissen. Daarin waarschuwde de woningcorporatie om alert te zijn op phishing, nepbrieven en telefoontjes van oplichters. Het lek op de website werd direct gedicht. Het incident werd eveneens gemeld bij de Autoriteit Persoonsgegevens.
Einde oefening zou je zeggen, maar dat is allesbehalve het geval. Daniël Verlaan, techjournalist bij RTL Nieuws, zegt dat de persoonlijke gegevens van ruim 33.000 huurders bij Stadgenoot online zijn gepubliceerd en voor iedereen te downloaden zijn.
Naast de data die de woordvoerder van de Amsterdamse woningcorporatie al bevestigde, zijn er volgens Verlaan ook geboortedata en wachtwoorden gestolen. De wachtwoorden zijn volgens hem met base64 gecodeerd. Dat betekent dat wachtwoorden eenvoudig zijn te achterhalen, omdat base64 veel wegheeft van plaintext-beveiliging.
Verlaan adviseert gedupeerden om goed op te letten op phishing en vergelijkbare oplichtingstrucs en om het wachtwoord dat ze bij Stadgenoot gebruiken aan te passen. Mochten slachtoffers hetzelfde wachtwoord voor andere online diensten gebruiken, dan is het raadzaam om ook deze te wijzigen.
Het is niet de eerste keer dat Stadgenoot te maken heeft met een datalek. In maart van dit jaar waarschuwde de woningcorporatie zo’n 15.000 huurders uit voorzorg voor een datalek. Grote verschil met het lek uit 2021 is dat marktonderzoeksbureau USP Marketing Consultancy de bron was van het lek.
Het marketingbedrijf was op zijn beurt een van de vele slachtoffers van een cyberaanval op een softwareleverancier uit Wormerveer. Hackers slaagden er toen in om persoonsgegevens van een groot aantal Nederlanders te stelen. Het ging om zaken als namen, woonadressen, e-mailadressen, telefoonnummers, geboortedata, geslacht, nationaliteit, inkomen en pensioengegevens.
Experts denken dat de daders bij de aanval op het softwarebedrijf de privégegevens van zo’n twee miljoen Nederlanders hebben buitgemaakt.
