Het lek op de website van de Geestelijke Gezondheidszorg Drente maakte de volledige database toegankelijk, zo schrijft NU.nl. Het gaat niet om patiëntgegevens, maar wel om informatie die tot de persoon te herleiden is. Op het forum hebben 2988 mensen zich ingeschreven.

Wachtwoorden leesbaar opgeslagen

Het lek werd ontdekt door Estelle van het Nederlands Genootschap van Hackende Huisvrouwen, meldt Nu.nl Sommige personen waren op basis van de gelekte gegevens ook daadwerkelijk te identificeren. Andere forumgebruikers zijn te herkennen aan een studentennummer dat als e-mailadres dient. Wachtwoorden bleken leesbaar opgeslagen te zijn.

Het lek kon ontstaan omdat in de website een zeer basale fout met de database was gemaakt. Hierdoor vielen gegevens geautomatiseerd op te halen. Dat werd overigens wel snel ontdekt, zo bleek. Vrijwel direct het lek werd gedicht na de actie van Estelle. Na confrontatie van de GGZ Drenthe werd duidelijk dat de organisatie nog niet van het probleem op de hoogte was.

“Het gaat om persoonlijke gegevens, die de bezoeker van de website invult, zoals inschrijvingen voor een nieuwsbrief, evenement of een vraag op het forum", zegt een zegsvrouw tegenover NU.nl.

Forum direct afgesloten

De GGZ heeft na melding van het lek het forum afgesloten. Volgens de woordvoerster zijn alle onderdelen van de website waar privacygevoelige gegevens opgeslagen worden afgesloten. “De externe webbouwer voert een securityscan uit en brengt de beveiliging op orde."

Het forum is nog wel benaderbaar. Mensen kunnen wel inloggen op het forum, maar worden na het aanklikken van opties op de website doorgeleid naar de centrale pagina van GGZ Drenthe. Daar staat een boodschap om mensen te waarschuwen.

Wel fouten, maar goede detectie

Estelle noemt het bijzonder dat de aanval wel is gedetecteerd, maar dat toch een website is neergezet met basale fouten. “Dan is het mogelijk om in een half uur een gigantische hoeveelheid aan gevoelige data binnen te halen", zegt ze tegen Nu.nl. “Het feit dat deze onversleuteld opgeslagen is valt op geen enkele wijze goed te praten."

De hacktiviste is wel tevreden over het snelle handelen van de GGZ-organisatie, maar benadrukt dat het lek ernstig is omdat het een kwetsbare groep mensen betreft. Daarom moet het volgens haar beter. “Waar ik echt van doordraai is dat personeelsleden wachtwoorden als '123456' en 'abcde12345' gebruiken."