Lek3: psychologensite loopt leeg door SQL-injectie
Gepubliceerd: Dinsdag 4 oktober 2011
Auteur: Jasper Bakker
De website van de Nederlandse Vereniging voor Psychologen en Psychotherapeuten lekt NAW-gegevens, mailadressen, logins en registratienummers van alle leden.
De NVVP (voluit: Nederlandse Vereniging van Vrijgevestigde Psychologen & Psychotherapeuten) lekt gevoelige gegevens van alle 1427 aangesloten medische specialisten. Hun namen, adressen, mailadressen maar ook loginggegevens voor de NVVP-portalsite zijn buit te maken door middel van een SQL-injectie. De gebruikersnamen en wachtwoorden blijken onversleuteld te zijn opgeslagen.
Ook de zogeheten BIG-nummers van de NVVP-leden blijken toegankelijk. Die nummers zijn opgenomen in de BIG-database (Beroepen in de Individuele Gezondheidszorg), die officieel erkende gezondheidswerkers in Nederland registreert. Dat zijn naast psychologen en psychotherapeuten ook artsen, apothekers, fysiotherapeuten, tandartsen, verloskundigen en verpleegkundigen. De 11-cijferige BIG-registratie is een persoonlijk nummer.
Schrik
De NVVP reageert geschrokken op de melding van Webwereld. Annemarie van der Meer, beleidsmedewerker externe contacten, zegt meteen contact op te nemen met het verantwoordelijke bedrijf. De website van de vereniging is namelijk aanbesteed.
De bewuste websitebouwer, Noah Design, heeft gisteravond direct gereageerd. "Hij heeft een gat ontdekt, maar gaat nu ook verder alles doorlopen", vertelt Van der Meer. Dat doet de websitemaker op eigen initiatief.
De NVVP-woordvoerster geeft aan niet op de hoogte te zijn van eventuele afspraken over beveiliging tussen de Vereniging en Noah Design. Vragen van Webwereld hierover zijn uitgezet. Wel zegt de NVVP-woordvoerster dat de websitebouwer "geregeld controles uitvoert".
Gelijk gedicht
Noah Design bevestigt tegenover Webwereld dat er een SQL-lek was, wat gisteravond dus is gedicht. Daarnaast voert de webdeveloper nu enkele wijzigingen door. Dat zit onder meer in de wachtwoord-kwijtfunctie en in de opslag van wachtwoorden, wat inderdaad onversleuteld gebeurt.
In een tweede reactie benadrukt de websitedeveloper, die ook het gebruikte cms heeft gemaakt, dat veel van de NVVP-ledeninformatie openbaar is. Dat geldt natuurlijk niet voor de wachtwoorden. "Het lek heeft maar kort opengestaan", voegt hij toe. Dat zijn "enkele weken", aldus eigenaar Sjoerd van der Galie van Noah Design.
Securityvragen voor dienstverleners
Het laten controleren van systemen door ingeschakelde dienstverleners, zoals websitedevelopers maar ook hosters, hoort standaard te zijn. Klanten moeten hun dienstverleners geregeld kritische vragen stellen. Onder meer naar genomen maatregelen om ict-systemen en data te scheiden, en wie er zoal toegang toe heeft.
Hacker Pompiedompiedom, die dit lek heeft ontdekt, is zelf ook geschrokken. Hij vertelt Webwereld: "Dit lek maakt het mogelijk om volledige toegang te krijgen tot de persoonlijke gedeeltes van de psychologen en psychotherapeuten. Hier kan men contactgegevens aanpassen."
Patientdossiers niet
Het ontdekte lek zit in de website van de NVVP zelf. Vooralsnog lijkt de gebruikte inlogsite voor patiëntdossiers niet kwetsbaar. Die zogeheten ROM-portal (routine outcome monitoring) bevat informatie over behandeling, begeleiding, verantwoording en onderzoek. Deze site is voor de NVVP opgezet door Reflectum, die daarvoor weer QuestManager gebruikt van VitalHealth Software.
Update:Reactie van Noah Design toegevoegd (6e en 7e alinea).
