Ziekenhuissite kwetsbaar voor SQL-injectie (11/10/18)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★ (alle informatie over het datalek komt uit een bron)

Organisatie

Ziekenhuis Amstelland.

Betrokkenen

Onduidelijk. Als voorbeeld worden bezoekers van de website genoemd, die een webformulier invullen om in contact te komen met hun specialist.

Soort (persoons)gegevens

Onduidelijk. Als voorbeeld worden gegevens in contactformulieren genoemd.

Type incident

Inbreuk op de beveiliging en potentieel ook op de beschikbaarheid, integriteit en vertrouwelijkheid van de verwerkte gegevens.

Omschrijving van het incident

"Door op de website op verschillende manieren te testen ontdekte [...], zelf ontwikkelaar van websites, de plek waarop beheerders toegang hebben voor onderhoud aan de website. 'Door bij gebruikersnaam: bla' OR username LIKE '%' LIMIT 2,10 -- ' in te vullen en bij wachtwoord een willekeurig teken kon ik inloggen en had ik - voor zover ik kan inschatten - alle rechten over de site', vertelt ze tegenover Webwereld. [...] meldde het lek via de e-mail aan de voorlichter. 'Als bewijs het scherm van uw gebruikersaccount, waar ik al uw rechten had kunnen afpakken, door uw gebruikersaccount in een andere groep te plaatsen', schrijft ze het ziekenhuis. 'Zo ben ik trouwens ook aan uw e-mailadres gekomen.'" (WebWereld, 11/10/18)

Respons van de organisatie

"'Het was inderdaad mogelijk een formulier aan te passen en zo gegevens af te vangen', erkent een voorlichtster van het ziekenhuis. Door het afluisteren van formulieren was het mogelijk dat dat persoonlijke informatie van patiŽnten lekte bij ziekenhuisopnames. Daarbij denkt de zegsvrouw aan vragen over eventueel alcohol- en drugsgebruik. Het ziekenhuis ervaart het probleem als vervelend, maar is blij met de melding: 'Hartstikke goed dat het gesignaleerd wordt', zegt de woordvoerster. 'Wij hebben in ieder geval de melding heel serieus genomen en binnen een uur was het lek ook gedicht.' De website van het ziekenhuis is nieuw en daarom is het volgens de zegsvrouw mogelijk dat er nog wat verbeteringen worden doorgevoerd. 'Hij is nog niet zo lang klaar en dat is ook een gevaarlijke periode. Als je aan het bouwen bent dan ben je kwetsbaar.' Inmiddels zijn er ook aanvullende verbeteringen met betrekking tot beveiliging doorgevoerd. Zo is de code geŁpdatet en werd de url veranderd, verder is de hele site doorgelicht." (WebWereld, 11/10/18)

Bronnen

Eerste publicatie:
Off-site link, opens in new window WebWereld: Lek14 - Privťdata patiŽnten af te luisteren (11/10/18)



Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-20YY D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.