De website van de Nederlandse Vereniging voor Psychologen en Psychotherapeuten (NVVP) heeft last gehad van meerdere lekken. Een eerst ontdekt SQL-injectielek is maandagmiddag gemeld aan de NVVP en diezelfde avond nog gedicht door websitebouwer Noah Design. Diverse Webwereld-lezers meldden echter dat er nog andere lekken aanwezig zijn. Webwereld heeft de NVVP en Noah Design hiervan op de hoogte gesteld.

Open na onderhoud

Na de melding over - en reparatie van - het eerste lek heeft Noah Design uitleg gegeven. Het lek heeft “slechts enkele weken" opengestaan, vertelt eigenaar Sjoerd van der Galie. “Het is wel toevallig: we hebben laatst onderhoud uitgevoerd, daarbij zijn wat dingen uit-gecomment en per ongeluk zo blijven staan."

Van der Galie is wel gelijk de rest van de NVVP-site gaan doornemen. Hij voert in ieder geval twee structurele aanpassingen door: de wachtwoord-kwijtfunctie en de wachtwoordopslag worden beveiligd. De wachtwoorden waren namelijk niet versleuteld opgeslagen, dat is nu niet meer het geval.

Meer lekken

Toch zijn er na publicatie van het Lektober-artikel over de NVVP-site nog meer lekken gevonden. Het gaat dan onder meer over een andere SQL-foutmelding, die volgens de tipgever kan worden uitgebuit. Daarnaast zijn er gaten gevonden in de structuur van het gebruikte CMS (content management systeem).

Tot slot stond de van buiten toegankelijke admin-login nog ingesteld op default-waarden. “Overigens lijkt het er wel op dat het betreffende bedrijf bezig is met het oplossen van de problemen", sluit een hacker zijn tip aan Webwereld af. De door hem gevonden gaten zijn inmiddels ook gedicht.

Oud, maatwerk

Noah Design heeft Webwereld dinsdag al verteld dat de website en het CMS van de NVVP relatief oud zijn. “Het is een jaar of vijf geleden gebouwd. Sindsdien wel geüpdate." Van der Galie geeft aan dat het een maatwerk-CMS is, wat sindsdien niet meer gedaan is. “Tegenwoordig gebruik ik ExpressionEngine, dat is van zichzelf al een stuk veiliger."

“Ik zeg ook tegen klanten: als je maar lang genoeg niets doet, dan gaat het vanzelf mis." Dat gebeurt niet alleen door hackers, maar ook door iets relatief basaals als een nieuwe browserversie. “IE9 viel vijf jaar geleden niet te voorzien." Hij adviseert de NVVP nu ook om na zijn aanpassingswerk een externe auditor de site te laten doorlopen. “Je moet een programmeur eigenlijk nooit zijn eigen werk laten nakijken."

Deels openbaar

De later ontdekte lekken gaan ook deels om openbare informatie. Zo wijst een tipgever Webwereld op het zomaar te vinden overzicht van alle NVVP-leden, compleet met hun NAW-gegevens (naam, adres, woonplaats). Die informatie is via de zoekfunctie op de site ook te vinden, zij het normaliter niet in één compleet overzicht maar onderverdeeld naar provincie of specialisatie.

“Het lijkt wel wat erger dan het is", reageerde Van der Galie dinsdag op het eerst gemelde privacylek. “De ledeninformatie is openbaar." Therapeuten moeten namelijk wel te vinden zijn voor patiënten, legt hij uit. “Beveiliging hangt samen met het belang van de informatie. In dit geval ging het niet om bankinformatie."