Een Nederlands lid van hackercollectief Anonymous heeft via een eenvoudige SQL-injectie toegang gekregen tot 136 databases. Die draaien bij minimaal 48 websites van voornamelijk de Gemeentelijke Gezondheidsdiensten (GGD). Daarnaast ook andere organisaties, zoals webpagina's gerelateerd aan huiselijk geweld en proefdieren. De databases waren allemaal in één keer te kraken omdat alles op dezelfde server stond.

Niet op straat

Een SQL-injectie kan misbruikt worden als gebruikersinvoer niet wordt gecheckt op ongewenste code. Door een SQL-commando in te voeren in een invulveld zoals die voor een gebruikersnaam, kunnen alle commando's uitgevoerd worden. Hacker S3nse1 kwam zo de databases van onder andere huiselijkgeweldutrecht.nl, ggd-flevoland.nl en ggdzhz.nl binnen, laat hij in een e-mail aan Webwereld weten.

De aanvaller kon toegang krijgen tot de databases door een ernstig lek in cBase2, het cms dat door al deze websites gebruikt wordt. Volgens de anonieme hacker zat het grote lek al geruime tijd in het cms. "Dit is een tamelijk groot lek geweest, waarbij dus privacygevoelige gegevens buitgemaakt kon worden", aldus de hacker. Daarom gooide hij de gegevens niet op straat. "Alle data die vergaard is in het onderzoeken van dit lek is vernietigd". De hacker heeft de maker van het cms geïnformeerd.

Snel opgelost

De Amsterdamse websitebouwer Orangehill heeft daarop de problemen in cBase snel opgelost. Het bedrijf mailt aan de hacker dat deze software een beperkt cms is. Bovendien is het sterk verouderd. Het cms is in 2004 geschreven, in classic ASP. Het wordt sinds 2010 niet meer ondersteund. De klanten van het bedrijf zijn daarvan op de hoogte gebracht, maar zijn nog niet allemaal overgestapt.

In een reactie aan Webwereld laat Vincent Somers, directeur van Orangehill, weten dat er geen gevoelige informatie gelekt is. Patiëntinformatie staat volgens hem bij de gekraakte organisaties namelijk in een eigen systeem met een eigen database en dus niet op deze server. In de databases hier is hooguit publieksinformatie te vinden. Hij erkent wel dat er mogelijk bijvoorbeeld e-mailadressen in de database aanwezig waren.

Een woordvoerder van de GGD laat weten dat alle 28 GGD'en zelfstandig beslissen waar en hoe zij hun website hosten. Waarom de organisaties niet naar de nieuwe versie van het door hun gebruikte cms zijn overgestapt is onbekend. Het lijkt toeval dat zoveel websites van de GGD op één server stonden. “Misschien dat één vestiging het goed vond werken en daarop anderen adviseerde", aldus de woordvoerder. Dit verklaart tevens waarom er sites van andere organisaties op de gehackte server staan.

Niet voor de lulz

S3nse1 laat in zijn e-mail aan Webwereld weten dat hij de snelle reactie die Orangehill hem gaf erg waardeert. Het geeft volgens hem aan dat die ontwikkelaars veel waarde hechten aan veiligheid. De hacker geeft aan lid te zijn van Anonymous maar wil de door hem buitgemaakte gegevens niet zomaar op straat gooien. “We zijn of denken niet allen hetzelfde", verklaart hij. “We proberen mensen in te laten zien dat niet alles veilig kan zijn".

Hij vervolgt: “Sommigen van ons hebben klakkeloos privacygevoelige data op straat gegooid, iets wat niet in lijn is met AntiSec. Daarom willen we ook iets doen aan ons imago." Met Operation #RobinHood, waar het los-vaste collectief nu in verzeild is, wil de groep dan ook laten zien het niet alleen voor de 'lulz' te doen maar ook echt om veiligheid te geven. Ontdekte beveiligingsgaten in software en systemen worden daarom eerst gemeld aan de verantwoordelijke developers.

Update 10:59: Reactie Vincent Somers toegevoegd