Ernstige beveiligingsproblemen in computersysteem van het Kadaster

Het computersysteem van het Kadaster bevat ernstige beveiligingsgaten. De directie van het Kadaster houdt er rekening mee dat informatie toegankelijk of wijzigbaar is voor personen die hier geen toegang toe mogen hebben.

Dit blijkt uit interne stukken van het Kadaster die het Financieele Dagblad heeft ingezien. "Het risico bestaat dat Kadasterdiensten onveilig zijn voor klanten of informatie toegankelijk of wijzigbaar is voor personen die hier geen toegang toe mogen hebben", aldus de directie van het Kadaster in de stukken.

Het Kadaster ontkent dat er ernstige problemen zijn en dat de data bestanden beveiligd zijn aldus directievoorzitter Burmanje.

‘De problemen zijn zorgwekkend’
In een reactie noemt notarisorganisatie KNB in het NOS Radio 1 Journaal de problemen zorgwekkend, aangezien gegevens die in het Kadaster staan voor waar worden aangenomen. Ook stelt KNB dat een goed functionerend Kadaster essentieel is voor de onroerendgoedmarkt. De organisatie wil de problemen ‘zeer binnenkort’ aan de orde stellen bij het Kadaster.

"We kunnen zien hoe groot een perceel is, wie de eigenaar is, of er een hypotheek op zit, of er beslag op zit. Daar ligt een enorme berg gegevens onder van aktes en cijfers van de meetkundige dienst. Als derden daar zomaar bij kunnen en dingen kunnen wijzigen, werkt dat door in alle toekomstige transacties”, zegt Nora van Oostrom van de KNB in het NOS Radio 1 Journaal.

Reactie van ERPScan
De beveiligingsgaten zitten in een SAP-systeem van het Kadaster. Roman Bezhan, SAP beveiligingsonderzoekers bij ERPScan, zegt in een (Engelstalige) reactie:

“The risk associated with the vulnerable SAP system is fairly assessed as high. In particular, the system is configured insecurely; there are numerous technical users with default passwords, default accounts with default passwords, and employees who have too many rights (in technical terms, it is called Segregation of duties violations). It opens the door for both hackers and internal malefactors.

Unfortunately, these misconfigurations are rather typical, we saw similar cases during our penetration tests and security assessments. For example, default users usually don’t have high rights and used for performing technical tasks. They are usually created with default credentials and an SAP admin should change them. The attack scenario is rather simple – a malicious can simply search for default credentials on the Internet and then escalate his or her privileges.

As for the defensive measures, we should mention that SAP security is rather ongoing process than a one-time action. Every day new users are created and new applications are introduced. So, to patch all the bugs and configured system securely once is not enough. And of course, a third-party pentest never hurts.”