Online forum over geestelijke gezondheid lekt persoonsgegevens leden (11/10/17)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)

Organisatie

Hulpgids.nl.

Betrokkenen

Forumleden en beheerders van de website.

Soort (persoons)gegevens

"Het gaat om de gebruikersnamen, wachtwoorden, mailadressen en echte namen van 3726 forumleden van Hulpgids.nl. Daarnaast lekten ook de gebruikersnamen, wachtwoorden en mailadressen van de beheeraccounts voor het CMS (content management system) van die site. [...] [De hoster] vertelt nog dat de wachtwoorden op zich wel versleuteld waren. 'Maar er zijn natuurlijk manieren om te proberen dat te kraken.'" (WebWereld, 11/10/17)

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Omschrijving van het incident

"Het aan Webwereld getipte lek, via SQL-injectie, is al gedicht. Het bleek echter ook al verkend te zijn. 'Na de hack hebben wij de hacker gemaild, met de vraag hoe hij dat had gedaan', reageert [de hoster]. Hij zegt bewust te hebben gekozen voor de informatieve aanpak om het lek snel te kunnen dichten. Die webdeveloper host de site, maar heeft het van origine niet ontwikkeld. 'Wij hebben de hosting overgenomen, een jaar of twee geleden.' Het is bij Webwereld niet bekend wie de oorspronkelijke bouwer is van de website. De gepleegde hack is meer dan een alledaagse SQL-injectie, vertelt [de hoster] aan Webwereld. 'Het is een zeer vernuftige hack.' Er is eerst met een webrequest 'gevist' naar lettertekens op basis van de time-out van de database. Voor die SQL-queries heeft de hacker een apart script geschreven. 'Wij zijn best onder de indruk.' Daarna is pas de SQL-injectie aan bod gekomen." (WebWereld, 11/10/17)

Respons van de organisatie

"Het informatielek is op zondag bekend geworden en zo'n acht uur later gedicht. De malafide queries worden afgevangen en het injectiegat is dicht. 'Dat hebben we kosteloos gedaan, als service aan de klant', vertelt de hoster. Hij heeft zijn klant ook gesommeerd om alle wachtwoorden te wijzigen. Psychiater [...] van Hulpgids.nl bevestigt het lek in een reactie op Webwerelds melding van het lek. 'De hacker heeft ons ook benaderd en GMWeb heeft inmiddels actie ondernomen.' [...] De hacker waar hij het over heeft, is een andere dan de hacker die Webwereld tipte. Dat was namelijk [een bij WebWereld bekende hacker] en hij heeft nooit contact gehad met de organisatie. [...] 'Iemand anders heeft het gemeld of ze verzinnen het.' Volgens hem is er nooit een maatwerkscript geweest, maar [werkt] hij juist met standaard scripts." (WebWereld, 11/10/17)

Bronnen

Eerste publicatie:
Off-site link, opens in new window WebWereld: Lek13 - psychiatrische site lekt beheer en forum UPDATE (11/10/17)

Zie verder:
Off-site link, opens in new window https://rejo.zenger.nl/vizier/psychiatrische-site-lekt-gegevens-gebruikers (11/10/19)



Eerder | Later | Menu | FAQ en contactgegevens | Exit

Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-20YY D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.