Legacy-systemen stonden wagenwijd open

Een vastgoedbeheerbedrijf ontdekte dat legacy-systemen met 8 jaar aan huurdergegevens publiek toegankelijk waren. Bekijk wat de beoordeling van Discovero aan het licht bracht.

Boek Uw assessment

De uitdaging

Waarmee wij te maken hadden

Een Centraal-Europees vastgoedbeheerbedrijf dat residentieel en commercieel vastgoed beheert, schakelde Discovero in voor hun eerste externe beveiligingsbeoordeling. Zij bereidden zich voor op ISO 27001-certificering en hadden gedocumenteerd bewijs van kwetsbaarheidsbeheer nodig.

Hun IT-infrastructuur was in de loop van tien jaar organisch gegroeid, met meerdere vastgoedbeheersystemen, huurderportalen en interne tools die waren verworven via bedrijfsfusies.

Wat Discovero vond

Beoordelingsresultaten

20+

caseStudies.property.metrics.

Belangrijkste bevindingen

Blootgesteld legacy vastgoedbeheersysteem (CVSS 8.6)

Een oud vastgoedbeheersysteem (buiten gebruik gesteld in 2021) draaide nog steeds en was publiek toegankelijk. Het bevatte persoonsgegevens van huurders, waaronder namen, adressen, telefoonnummers en huurovereenkomsten die teruggingen tot 2016. De applicatie gebruikte standaard inloggegevens voor beheerderstoegang.

SQL-injectie in huurderportaal (CVSS 8.1)

Het huidige zelfbedieningsportaal voor huurders was kwetsbaar voor SQL-injectie via de wachtwoord-resetfunctie van het inlogformulier. Hiermee kon een aanvaller de volledige huurderdatabase extraheren, inclusief persoonsgegevens en betalingsgegevens.

Onversleutelde e-maildiensten (CVSS 6.8)

De mailserver van het bedrijf accepteerde verbindingen via onversleutelde IMAP- en POP3-protocollen. Communicatie met huurders, onderhoudsverzoeken en interne e-mails over vastgoedbeheer werden in platte tekst verzonden.

Debug-eindpunten die configuratie lekten (CVSS 5.5)

Een Next.js-applicatie had ontwikkelings-debug-eindpunten die in productie toegankelijk waren, waardoor omgevingsvariabelen werden blootgesteld, waaronder databaseverbindingsstrings en API-sleutels voor externe vastgoedadvertentiediensten.

De impact

Wat had kunnen gebeuren

Scenario	Geschatte impact
AVG-datalekmelding + boetes	EUR 100.000 – 500.000
Diefstal van huurdergegevens + rechtszaken	EUR 200.000 – 1.000.000
Reputatieschade + huurdersverloop	EUR 150.000 – 400.000
Discovero-beoordeling	EUR 2.900

De blootstelling van het legacy-systeem alleen al had een verplichte AVG-datalekmelding kunnen uitlokken — met gevolgen voor honderden huidige en voormalige huurders.

Het resultaat

Wat er is gedaan

Het legacy vastgoedbeheersysteem werd onmiddellijk offline gehaald en de gegevens werden veilig gemigreerd.
SQL-injectie in het huurderportaal werd binnen 48 uur gepatcht.
E-maildiensten werden opnieuw geconfigureerd om TLS-versleuteling af te dwingen.
Debug-eindpunten werden verwijderd uit de productieomgeving.
Het beoordelingsrapport werd rechtstreeks gebruikt als bewijs voor hun ISO 27001-certificeringsaudit.

Belangrijkste les

Wanneer bedrijven groeien door fusies, worden oude systemen vergeten maar niet buiten gebruik gesteld. Dit vastgoedbedrijf had 8 jaar aan huurdergegevens op een publiek toegankelijke server met standaard inloggegevens staan.

Wilt U weten wat er verborgen zit in
Uw aanvalsoppervlak?

Geen agents. Geen inloggegevens. Alleen Uw domein. Eerste resultaten binnen 48 uur.

Boek een gratis consultatie Bekijk prijzen