Dat ontdekte hacker Pompiedompiedom bij zijn zoektocht naar nodeloos beschikbaar privacygevoelige informatie. Via de mogelijkheid om een digitale kaart aan patiënten te sturen, was het mogelijk een SQL-injection uit te voeren. Daarbij was patiëntinformatie niet te benaderen.

Toegang tot informatie

Via het lek was het mogelijk om toegang te krijgen tot informatie waarmee beheerders van de site inlogden. Ook wachtwoorden waren daarbij toegankelijk, omdat deze zelf ook onvoldoende versleuteld waren. Aanvallers konden dus inloggen en veranderingen aanbrengen op de site. In de database stond verder het logboek met daarin de inlogpogingen en IP-adressen van gebruikers.

Verder was het mogelijk om toegang te krijgen de Q&A van het ziekenhuis. Via deze dienst konden mensen vragen stellen aan het ziekenhuis, waarbij de vragenstellers wel hun naam moesten geven. Deze informatie werd niet na verloop van tijd vernietigd, maar bleef toegankelijk.

Lek gedicht

Na op de hoogte te zijn gebracht heeft Tergooiziekenhuizen het lek laten dichten. Aanvankelijk dacht de organisatie dat de database niet gebruikt werd, maar dat bleek later juist wel het geval. Een zegsvrouw stelt dat niet strikt noodzakelijke informatie inmiddels is vernietigd: “De gegevens zijn gewist en niet meer te achterhalen."

Ook de wachtwoorden van de medewerkers zijn aangepast en is 'de beveiligingsgraad naar een hoger niveau opgeschroefd'. Hierdoor zou het niet meer mogelijk moeten zijn dat onbevoegden de inhoud veranderen. De organisatie benadrukt dat patiëntgegevens of medische dossiers niet benaderbaar zijn geweest. De Vraag en Antwoord-rubriek is nu zo veranderd dat een vragensteller altijd anoniem blijft.

“Brenno de Winter heeft in het kader van 'Lektober' aangegeven dat de publiekswebsite van Tergooiziekenhuizen een lek bevat', zegt een zegsvrouw tegenover Webwereld. “Het is goed dat dit aan het licht komt en we zijn er van overtuigd dat we alle nodige en passende maatregelen hebben genomen om de privacy van onze bezoekers van de website te kunnen waarborgen."

Het ziekenhuis wil wel onderstrepen dat er geen medische dossiers toegankelijk waren: "Overigens is de website van het ziekenhuis altijd al volstrekt gescheiden geweest van onze interne systemen die wij gebruiken voor medische gegevens van onze patiënten."

Kijk voor alle artikelen in het kader van Lektober op onze dossierpagina.