Gegevens 63.000 klanten NEM publiekelijk toegangelijk

De gegevens van meer dan 63.000 klanten van de Nederlandse Energiemaatschappij zijn tot een paar dagen terug vrij toegankelijk geweest.

Uit de gegevens die publiek toegangelijk waren kon de persoons-, login- en factuurgegevens van de klanten achterhaald worden. De anonieme bron kon de gegevens met minimale stappen achterhalen en meldde dit bij Tweakers.

Uit het artikel Privégegevens 63.000 NL Energie-klanten liggen op straat op Tweakers:

Deze map bleek gevuld met xls-bestanden waarin de gebruikersnamen, wachtwoorden en e-mailadressen van NL Energie-klanten in plain text zijn te vinden. Het gaat in totaal om meer dan zestigduizend klanten. […]

De xls-bestanden die in de publiek toegankelijke directory stonden, lijken voor backupdoeleinden te worden gebruikt. Toch worden alle basisregels voor het veiligstellen van persoonlijke gegevens geschonden. Niet alleen worden de backupbestanden op een publiek toegankelijke server weggeschreven, de data was bovendien onversleuteld opgeslagen. Bovendien kan het lekken van wachtwoorden gevolgen hebben voor NL Energie-klanten, omdat veel internetgebruikers dezelfde wachtwoorden op verschillende sites gebruiken.

De Nederlandse Energie Maatschappij heeft inmiddels, na door Tweakers.net te zijn geïnformeerd, de open directory verwijderd. […] Maurice de Hond heeft telefonisch aan Tweakers.net bevestigd dat de door de tipgever verzamelde verbruiksgegevens over De Hond correct zijn. 

De ontdekker van het lek vond de gegevens door op zoek te gaan naar een zogenaamde "open directory". Door een foutieve configuratie van de webserver is een gemakkelijk een overzicht te genereren van alle bestanden in de directory. Bij de Nederlandse Energiemaatschappij was de directory "/repository" op de website Mijn Energie zo'n open directory.

 

 

Ook de  onderliggende directory "/repository/tmp", met daarin veel Excel bestanden, bleek een onvoldoende beveiligd. Niet alleen is de inhoud onbedoeld zichtbaar, bovendien is die inhoud ook nog eens zonder een wachtwoord toegangelijk.

 

 

De Excel bestanden bevatten elk een lange lijst van klantnummers, e-mailadressen en wachtwoorden. De bestanden zelf en ook de wachtwoorden zijn niet versleuteld.  

 

 

De meeste bestanden bevatten de gegevens van om en nabij de 63.000 klanten. Deze gegevens zijn op hun beurt weer te gebruiken om in te loggen in het deel van de website waarop klanten de eigen gegevens kunnen inzien. Ook Maurice de Hond, het gezicht in de reclamecampagne van het bedrijf, is klant bij het energiebedrijf. 

 

Niet alleen een overzicht van persoonsgegevens is toegankelijk, ook is het mogelijk om bijvoorbeeld facturen in te zien en gegevens aan te passen.