Zorginstelling verslaafden lekt persoonsgegevens
Gepubliceerd: Dinsdag 6 december 2011
Auteur: Brenno de Winter
Zorginstelling De Hoop bewaart persoonlijke gegevens van klanten op een server met tientallen sites. Door een lek waren deze toegankelijk. Er zitten wel klanten, maar geen patiëntgegevens tussen.
Dat ontdekte hacker Pompiedompiedom, die vaker wijst op slechte bescherming van privacygevoelige informatie. Hij ontdekte dat de webserver van De Hoop, een wereldwijd bekende organisatie op het gebied verslavingszorg en geestelijke gezondheidszorg, gevoelig is voor een SQL-injectionaanval. In totaal gaat het om tientallen sites.
Veel gevoelige gegevens
De server met de database is inmiddels offline gehaald, maar er is veel gevoelige informatie beschikbaar geweest. Daarbij ging het onder andere om de persoonsgegevens van ruim 3300 klanten, waaronder naam, adres, bankrekeningnummer, e-mailadres, gebruikersnaam om in te loggen met bijbehorend leesbaar wachtwoord.
Ook gegevens over aanmeldingen voor familiesessies, bijeenkomsten voor pastores en andere bijeenkomsten staan in de database, net als de die van 1396 sollicitanten voor een baan, en 237 sollicitaties voor vrijwilligerswerk. Ook lijsten met 'oude' sollicitaties en andere tabellen bleken toegankelijk.
De instelling erkent het probleem, maar benadrukt dat er geen patiëntgegevens tussen zitten. "Dit zijn klanten van de webwinkels die we ook beheren", vertelt Frans Koopmans, voorlichter van Stichting De Hoop, tegenover Webwereld. Het gaat volgens hem dan ook niet om aanmeldingen van cliënten die zorg afnemen. Hij bevestigt dat soms gegevens te lang zijn bewaard. "De tabellen zijn dan ook geleegd."
Beheeraccounts
De verschillende beheeraccounts van de website worden verder afgeschermd door hetzelfde wachtwoord (admin2themax). Hierdoor bleek het mogelijk om volledige toegang te krijgen tot de websites.
Pompiedompiedom benadrukt dat hij zich vooral druk maakt over het feit dat veel van de privacygevoelige informatie online bewaard wordt, terwijl dat helemaal niet nodig is. "Dat moet je snel offline halen, want dit is niet nodig. Natuurlijk kan ik klagen over de beveiliging. Laat ik dat maar eens niet doen. We weten dat langzamerhand wel", stelt hij in een reactie aan Webwereld.
Nadat Webwereld het lek heeft gemeld aan De Hoop, heeft de organisatie meteen actie ondernomen. De websites zijn offline gehaald en komen na inspectie weer online. In een eerste reactie toont de voorlichter zich geschrokken en bedankt hij voor de melding. "We vinden het niet leuk, maar zijn wel dankbaar dat het niet misbruikt is", zegt de voorlichter dan ook. "
Update 16:30 nadere informatie van De Hoop toegevoegd
