Ziekenhuissite lekt gegevens van vragenstellers en wachtwoorden van medewerkers via SQL-injectie (11/10/05)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)

Organisatie

Tergooiziekenhuizen.

Betrokkenen

Beheerders en en mensen die via de Q&A-functie op de website een vraag hebben gesteld aan het ziekenhuis.

Soort (persoons)gegevens

Gegevens van vragenstellers en wachtwoorden vn beheerders.

Type incident

Inbreuk op de beveiliging van de verwerkte gegevens.

Omschrijving van het incident

"Via de mogelijkheid om een digitale kaart aan patiŽnten te sturen, was het mogelijk een SQL-injection uit te voeren. Daarbij was patiŽntinformatie niet te benaderen. Via het lek was het mogelijk om toegang te krijgen tot informatie waarmee beheerders van de site inlogden. Ook wachtwoorden waren daarbij toegankelijk, omdat deze zelf ook onvoldoende versleuteld waren. Aanvallers konden dus inloggen en veranderingen aanbrengen op de site. In de database stond verder het logboek met daarin de inlogpogingen en IP-adressen van gebruikers. Verder was het mogelijk om toegang te krijgen de Q&A van het ziekenhuis. Via deze dienst konden mensen vragen stellen aan het ziekenhuis, waarbij de vragenstellers wel hun naam moesten geven. Deze informatie werd niet na verloop van tijd vernietigd, maar bleef toegankelijk." (WebWereld, 11/10/05)

Respons van de organisatie

Na op de hoogte te zijn gebracht heeft Tergooiziekenhuizen het lek laten dichten. Aanvankelijk dacht de organisatie dat de database niet gebruikt werd, maar dat bleek later juist wel het geval. Een zegsvrouw stelt dat niet strikt noodzakelijke informatie inmiddels is vernietigd: 'De gegevens zijn gewist en niet meer te achterhalen.' Ook de wachtwoorden van de medewerkers zijn aangepast en is 'de beveiligingsgraad naar een hoger niveau opgeschroefd'. Hierdoor zou het niet meer mogelijk moeten zijn dat onbevoegden de inhoud veranderen. De organisatie benadrukt dat patiŽntgegevens of medische dossiers niet benaderbaar zijn geweest. De Vraag en Antwoord-rubriek is nu zo veranderd dat een vragensteller altijd anoniem blijft. [...] 'Het is goed dat dit aan het licht komt en we zijn er van overtuigd dat we alle nodige en passende maatregelen hebben genomen om de privacy van onze bezoekers van de website te kunnen waarborgen.' Het ziekenhuis wil wel onderstrepen dat er geen medische dossiers toegankelijk waren: "Overigens is de website van het ziekenhuis altijd al volstrekt gescheiden geweest van onze interne systemen die wij gebruiken voor medische gegevens van onze patiŽnten.'" (WebWereld, 11/10/05)

Bronnen

Eerste publicatie:
Off-site link, opens in new window WebWereld: Lek4 - Ziekenhuis lekt data via beterschapskaartjes (11/10/05)

Zie verder:
Off-site link, opens in new window Rejo Zenger: Ziekenhuis lekt gegevens via website (11/10/06)



Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-20YY D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.