Lek13: psychiatrische site lekt beheer en forum UPDATE
Gepubliceerd: Maandag 17 oktober 2011
Auteur: Jasper Bakker
Lektober gaat de derde week in met een lekke hulpsite voor psychiatrische patiënten. De logins voor het forum én voor de CMS-beheeraccounts waren lek. Dat ontdekten meerdere hackers.
Het gaat om de gebruikersnamen, wachtwoorden, mailadressen en echte namen van 3726 forumleden van Hulpgids.nl. Daarnaast lekten ook de gebruikersnamen, wachtwoorden en mailadressen van de beheeraccounts voor het CMS (content management system) van die site. Hulpgids.nl is naar eigen zeggen dé gids voor de geestelijke gezondheidszorg (GGZ), met informatie, een adressengids en links naar GGZ-instellingen.
'Webpsychiater'
Via het forum kunnen mensen vragen stellen aan een psychiater, de zogeheten 'webpsychiater', vermeldt de hulpsite. Daarbij benadrukt het wel dat "de informatie op deze site alleen bedoeld is als aanvulling, en niet als vervanging, van het contact tussen arts en patiënt of de bezoeker van deze site."
Het aan Webwereld getipte lek, via SQL-injectie, is al gedicht. Het bleek echter ook al verkend te zijn. "Na de hack hebben wij de hacker gemaild, met de vraag hoe hij dat had gedaan", reageert Gijs Martens van GMweb BV. Hij zegt bewust te hebben gekozen voor de informatieve aanpak om het lek snel te kunnen dichten.
Die webdeveloper host de site, maar heeft het van origine niet ontwikkeld. "Wij hebben de hosting overgenomen, een jaar of twee geleden." Het is bij Webwereld niet bekend wie de oorspronkelijke bouwer is van de website.
Niet alleen SQL-injectie
De gepleegde hack is meer dan een alledaagse SQL-injectie, vertelt Martens aan Webwereld. "Het is een zeer vernuftige hack." Er is eerst met een webrequest 'gevist' naar lettertekens op basis van de time-out van de database. Voor die SQL-queries heeft de hacker een apart script geschreven. "Wij zijn best onder de indruk." Daarna is pas de SQL-injectie aan bod gekomen.
Het informatielek is op zondag bekend geworden en zo'n acht uur later gedicht. De malafide queries worden afgevangen en het injectiegat is dicht. "Dat hebben we kosteloos gedaan, als service aan de klant", vertelt de hoster. Hij heeft zijn klant ook gesommeerd om alle wachtwoorden te wijzigen.
Wel versleuteld
Psychiater Bram Querido van Hulpgids.nl bevestigt het lek in een reactie op Webwerelds melding van het lek. "De hacker heeft ons ook benaderd en GMWeb heeft inmiddels actie ondernomen." Martens vertelt nog dat de wachtwoorden op zich wel versleuteld waren. "Maar er zijn natuurlijk manieren om te proberen dat te kraken."
Pompiedompiedom
De hacker waar hij het over heeft, is een andere dan de hacker die Webwereld tipte. Dat was namelijk Pompiedompiedom en hij heeft nooit contact gehad met de organisatie. "Dat regelen jullie toch altijd?", vraagt hij in een reactie. "Iemand anders heeft het gemeld of ze verzinnen het."
Volgens hem is er nooit een maatwerkscript geweest, maar wij hij juist met standaard scripts. "Daarom ook mijn naam", stelt Pompiedompiedom tegenover Webwereld.
Kijk voor alle artikelen in het kader van Lektober op onze dossierpagina.
