Beoordeling
Organisatie
Betrokkenen
Soort (persoons)gegevens
Type incident
Omschrijving van het incident
Respons van de organisatie
Bronnen
Beoordeling
Organisatie
Betrokkenen
Soort (persoons)gegevens
Type incident
Omschrijving van het incident
Respons van de organisatie
Bronnen
★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)
GGD en andere organisaties.
Onbekend, vermoedelijk relaties of cliënten van de betreffende organisaties.
"[...] gegevens over gevoelige zaken zoals gezondheid [...] Het gaat om 136 databases. Die draaien bij minimaal 48 websites van voornamelijk de Gemeentelijke Gezondheidsdiensten (GGD). Daarnaast ook andere organisaties, zoals webpagina's gerelateerd aan huiselijk geweld en proefdieren. [...] de databases van onder andere huiselijkgeweldutrecht.nl, ggd-flevoland.nl en ggdzhz.nl [...]" (WebWereld, 11/07/19)
"In een reactie aan Webwereld laat [de] directeur van Orangehill weten dat er geen gevoelige informatie gelekt is. Patiëntinformatie staat volgens hem bij de gekraakte organisaties namelijk in een eigen systeem met een eigen database en dus niet op deze server. In de databases hier is hooguit publieksinformatie te vinden. Hij erkent wel dat er mogelijk bijvoorbeeld e-mailadressen in de database aanwezig waren." (WebWereld, 11/07/19 - update)
Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.
"Een Nederlands lid van hackercollectief Anonymous heeft via een eenvoudige SQL-injectie toegang gekregen tot 136 databases. Die draaien bij minimaal 48 websites van voornamelijk de Gemeentelijke Gezondheidsdiensten (GGD). Daarnaast ook andere organisaties, zoals webpagina's gerelateerd aan huiselijk geweld en proefdieren. De databases waren allemaal in één keer te kraken omdat alles op dezelfde server stond. [...] De aanvaller kon toegang krijgen tot de databases door een ernstig lek in cBase2, het cms dat door al deze websites gebruikt wordt. Volgens de anonieme hacker zat het grote lek al geruime tijd in het cms. Vanwege de gevoeligheid van de gegevens besloot hij deze niet, zoals de laatste tijd gebruikelijk lijkt, op straat te gooien. In plaats daarvan heeft de hacker de maker van het cms geïnformeerd." (WebWereld, 11/07/19)
"De Amsterdamse websitebouwer Orangehill heeft daarop de problemen in cBase snel opgelost. Het bedrijf geeft aan dat deze software een beperkt cms is. Bovendien is het sterk verouderd. Het cms is in 2004 geschreven, in classic ASP. Het wordt sinds 2010 niet meer ondersteund. De klanten van het bedrijf zijn daarvan op de hoogte gebracht, maar zijn nog niet allemaal overgestapt. Een woordvoerder van de GGD laat weten dat alle 28 GGD'en zelfstandig beslissen waar en hoe zij hun website hosten. Waarom de organisaties niet naar de nieuwe versie van het door hun gebruikte cms zijn overgestapt is onbekend. Het lijkt toeval dat zoveel websites van de GGD op één server stonden. 'Misschien dat één vestiging het goed vond werken en daarop anderen adviseerde', aldus de woordvoerder. Dit verklaart tevens waarom er sites van andere organisaties op de gehackte server staan." (WebWereld, 11/07/19)
Eerste publicatie:
WebWereld: Privégegevens gelekt via GGD-websites (11/07/19)
Zie verder:
PrivacyNieuws: Privégegevens gelekt via GGD-websites (11/07/19)
WebWereld: Privégegevens gelekt via GGD-websites - update (11/07/19)
Rejo zenger: GGD-websites lekken e-mailadressen (11/07/20)
BoF: Datalek - privégegevens gelekt via GGD-websites (11/07/21)
