Meer gaten in medische database Humannet

door

sql injectie

door

Nieuws - De medische database Humannet bevatte grote kwetsbaarheden. Hackers konden het beheer van de server overnemen, schrijft Fox-IT, dat in opdracht van softwareleverancier VCD de beveiliging onderzocht.

Het programma Zembla van de Vara liet afgelopen zaterdag zien dat de medische database Humannet van softwareleverancier VCD simpel te kraken was na een sql-injectie. Daarmee kwamen de medische dossiers van 300.000 werknemers van onder meer FC Twente, Praxis, de gemeente Deventer, V&D en De Bijenkorf op straat te liggen.

Uit een onderzoek van Fox-IT, waarvan een vertrouwelijk rapport in handen is van Zembla, blijkt dat de sites humannetstarter.nl en humannetverzuim.nl een flink aantal gaten vertoonden. Het uitvoeren van een code op de server was daarvan het gevaarlijkst, maar ook konden kwaadwillenden een aanval uitvoeren met cross-site scripting of met een sql-injectie.

Gedeelde wachtwoorden

Daarnaast bleken er gedeelde wachtwoorden te bestaan voor meerdere databases en werd er onveilig omgegaan met gebruikersnamen en wachtwoorden. Bij sessiecookies ontbraken de secure-flag en HttpOnly-flag en gaf de webserver gedetailleerde informatie vrij. De gevonden gebreken zijn volgens VCD uiteindelijk per 20 april opgelost, waarna Zembla besloot de kwestie uit te zenden.

Zembla heeft inmiddels ook een brief van VCD in handen gekregen en gepubliceerd waarin het bedrijf aan zakelijke klanten laat weten het te betreuren dat derden toegang hebben kunnen krijgen tot het systeem Humannet. “Uiteraard had dit niet mogen gebeuren." Volgens Zembla heeft VCD aangifte gedaan van computerinbraak, maar heeft het daarbij volgens een woordvoerder van VCD niet de bedoeling Zembla te laten vervolgen. “Daar is geen sprake van. U heeft dit gedaan vanuit uw onderzoeksfunctie", citeert het tv-programma woordvoerder Ben Warner van VCD.

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

promotionele afbeeldingen promotionele afbeeldingen

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.