Het departement voor epidemiologie van het Erasmus Medisch Centrum lekt de logins van de eigen medewerkers en professoren. Dit zijn de gebruikersnamen en wachtwoorden van in totaal 138 personen. Hun contactgegevens zijn al openlijk te vinden in het online-adresboek. Daarnaast lekt via een SQL-injectie ook de admin-login.

'Niet privacygevoelig'

IT-manager Eric Neeleman reageert meteen op Webwerelds melding van het lek. “Dat is bijzonder want er staan helemaal geen privacygevoelige gegevens op of in de website. Alleen contactgegevens die ook op de website zelf staan. Maar een lek is nooit goed dus gaarne meer details van dit mogelijke lek zodat er actie op te ondernemen is."

In een tweede reactie laat hij weten dat inlognamen en wachtwoorden inderdaad in een database staan. “Maar die worden helemaal nog nergens voor gebruikt en worden ook nergens anders gebruikt." Het gaat namelijk om gegenereerde wachtwoorden, licht hij toe. Dus het zijn geen wachtwoorden van gebruikers zelf die ze mogelijk ook voor andere systemen of websites gebruiken.

Nooit gebruikt

De door Erasmus MC aangemaakte wachtwoorden zijn “bedoeld voor ontwikkelingen die nooit gestalte hebben gekregen. Er is zelfs geen inlogsysteem waar ze gebruikt kunnen worden." Daardoor hebben gebruikers de wachtwoorden ook niet kunnen wijzigen.

De inloggegevens die via het privacylek buit te maken waren, kunnen volgens hem dan ook niet misbruikt worden. “Verdere informatie in die database staat ook gewoon op onze site en die er met SQL uitvissen heeft geen meerwaarde. Dat kun je namelijk ook gewoon op de site lezen. Het lijkt dus allemaal veel spannender dan het is.

Serieus naar kijken

“In die zin is dat geruststellend." Neeleman neemt het lek wel serieus: “Niet geruststellend is dat iemand in ons systeem heeft zitten rommelen. We zullen het systeem laten nakijken op SQL-injectie problemen. Een SQL-injectie moet natuurlijk gewoon niet kunnen en daar zullen we dan ook serieus naar kijken."

Naast de website van dit Erasmus-departement is Webwereld ook geïnformeerd over een SQL-lek in een andere website waardoor NAW-gegevens en logins te oogsten zijn. De webmaster daarvan heeft tot op heden echter niet gereageerd op de melding door Webwereld.

Nieuwe site bouwen

De eigenaar reageert nog wel, per mail: “Ik heb gesproken met onze webmaster. Hij gaf aan dat onze site verouderd is en van daaruit ook gemakkelijker hackbaar. Repareren is een kostbare en waarschijnlijk niet afdoende optie."

“De offerte voor het bouwen van een nieuwe site is aangevraagd. Ik vermoed dat wij over 2 maanden een nieuwe site hebben. Mocht in de tussentijd onze site daadwerkelijk gehacked worden dan springt de server in met een kopie", laat de voorzitter van de website-eigenaar weten. “In ieder geval bedankt voor uw alertheid." Onthulling van dit lek kan dus niet verantwoord plaatsvinden. Dat zou niet veilig zijn voor de leden van die website.