Door verschillende kwetsbaarheden in het veelgebruikte Humannet-systeem konden kwaadwillenden maandenlang beheerderrechten verkrijgen via een SQL injection.

Beheeraccount overgenomen

Op die manier waren zeer privacygevoelige arbeids- en medische gegevens te benaderen en te veranderen. Onder meer verzuimafhandelaar VerzuimReductie maakt gebruik van Humannet, ontwikkeld door het automatiseringsbedrijf VCD.

Dat meldt tv-programma Zembla, dat een tweeluik maakte over misstanden in de commerciële arbobranche. Securityprofessor Bart Jacobs van de Radboud Universiteit Nijmegen demonstreerde de SQL-aanval, binnen een kwartier was er controle over een beheeraccount.

Honderdduizenden dossiers

Jacobs spreekt van het grootste lek van persoonlijke en medische data in de Nederlandse geschiedenis. “Dit is een nachtmerriescenario. Dat dit zo op straat ligt, vind ik werkelijk schokkend. Je kunt hier mensen mee chanteren."

Honderden organisaties en bedrijven werken met de Humannet verzuimsoftware, onder meer Praxis, Bijenkorf, V&D, Hornbach, Beter Bed, Action, de Gemeente Deventer en FC Twente, meldt Zembla.

VCD erkende na aanvankelijke ontkenning dat er verschillende kwetsbaarheden in de Humannet software zitten en heeft een extern bedrijf ingeschakeld om het op te lossen.