Lek14: Privédata patiënten af te luisteren

door

esculaap

door

Nieuws - Het ziekenhuis Amstelland gaf via een simpele SQL-injection toegang tot het CMS. Zo was het mogelijk content te veranderen of contactformulieren af te luisteren. Het lek is snel gedicht.

Door op de website op verschillende manieren te testen ontdekte Shirley de Jong, zelf ontwikkelaar van websites, de plek waarop beheerders toegang hebben voor onderhoud aan de website. “Door bij gebruikersnaam: bla' OR username LIKE '%' LIMIT 2,10 -- ' in te vullen en bij wachtwoord een willekeurig teken kon ik inloggen en had ik - voor zover ik kan inschatten - alle rechten over de site", vertelt ze tegenover Webwereld.

Melding via website

De Jong meldde het lek via de e-mail aan de voorlichter. “Als bewijs het scherm van uw gebruikersaccount, waar ik al uw rechten had kunnen afpakken, door uw gebruikersaccount in een andere groep te plaatsen", schrijft ze het ziekenhuis. “Zo ben ik trouwens ook aan uw e-mailadres gekomen."

Ze bestempelt het lek als ernstig. “Ik doe dit puur omdat ik dit een ernstig lek vind, omdat ik heel gemakkelijk aan patiëntgegevens kan komen door bijv. een e-mailadres van een formulier aan te passen", schrijft ze.

Ruiterlijke erkenning

“Het was inderdaad mogelijk een formulier aan te passen en zo gegevens af te vangen", erkent een voorlichtster van het ziekenhuis. Door het afluisteren van formulieren was het mogelijk dat dat persoonlijke informatie van patiënten lekte bij ziekenhuisopnames. Daarbij denkt de zegsvrouw aan vragen over eventueel alcohol- en drugsgebruik.

Het ziekenhuis ervaart het probleem als vervelend, maar is blij met de melding: “Hartstikke goed dat het gesignaleerd wordt", zegt de woordvoerster. “Wij hebben in ieder geval de melding heel serieus genomen en binnen een uur was het lek ook gedicht."

Nieuwe site

De website van het ziekenhuis is nieuw en daarom is het volgens de zegsvrouw mogelijk dat er nog wat verbeteringen worden doorgevoerd. “Hij is nog niet zo lang klaar en dat is ook een gevaarlijke periode. Als je aan het bouwen bent dan ben je kwetsbaar."

Inmiddels zijn er ook aanvullende verbeteringen met betrekking tot beveiliging doorgevoerd. Zo is de code geüpdatet en werd de url veranderd, verder is de hele site doorgelicht.

Kijk voor alle artikelen in het kader van Lektober op onze dossierpagina.

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.