Websites zorginstelling lekken persoonsgegevens door SQL-injectie en gebruik standaard wachtwoorden (11/12/06)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)

Organisatie

Stichting De Hoop.

Betrokkenen

"[...] ruim 3300 klanten [...] 1396 sollicitanten voor een baan, en 237 sollicitaties voor vrijwilligerswerk."

Soort (persoons)gegevens

"Daarbij ging het onder andere om de persoonsgegevens van ruim 3300 klanten, waaronder naam, adres, bankrekeningnummer, e-mailadres, gebruikersnaam om in te loggen met bijbehorend leesbaar wachtwoord. Ook gegevens over aanmeldingen voor familiesessies, bijeenkomsten voor pastores en andere bijeenkomsten staan in de database, net als de die van 1396 sollicitanten voor een baan, en 237 sollicitaties voor vrijwilligerswerk. Ook lijsten met 'oude' sollicitaties en andere tabellen bleken toegankelijk." (WebWereld, 11/12/06)

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Omschrijving van het incident

"[Een hacker] ontdekte dat de webserver van De Hoop, een wereldwijd bekende organisatie op het gebied verslavingszorg en geestelijke gezondheidszorg, gevoelig is voor een SQL-injectionaanval. In totaal gaat het om tientallen sites. De server met de database is inmiddels offline gehaald, maar er is veel gevoelige informatie beschikbaar geweest. [...] De verschillende beheeraccounts van de website worden verder afgeschermd door hetzelfde wachtwoord (admin2themax). Hierdoor bleek het mogelijk om volledige toegang te krijgen tot de websites." (WebWereld, 11/12/06)

Respons van de organisatie

"De instelling erkent het probleem, maar benadrukt dat er geen patiŽntgegevens tussen zitten. 'Dit zijn klanten van de webwinkels die we ook beheren', vertelt [een] voorlichter van Stichting De Hoop, tegenover Webwereld. Het gaat volgens hem dan ook niet om aanmeldingen van cliŽnten die zorg afnemen. Hij bevestigt dat soms gegevens te lang zijn bewaard. 'De tabellen zijn dan ook geleegd.' [...] Nadat Webwereld het lek heeft gemeld aan De Hoop, heeft de organisatie meteen actie ondernomen. De websites zijn offline gehaald en komen na inspectie weer online. In een eerste reactie toont de voorlichter zich geschrokken en bedankt hij voor de melding. 'We vinden het niet leuk, maar zijn wel dankbaar dat het niet misbruikt is', zegt de voorlichter dan ook." (WebWereld, 11/12/06)

Bronnen

Eerste publicatie:
Off-site link, opens in new window WebWereld: Zorginstelling verslaafden lekt persoonsgegevens (11/12/06)

Zie verder:
Off-site link, opens in new window Rejo Zenger: Zorginstelling verslaafden lekt persoonsgegevens (11/12/08)
Off-site link, opens in new window BoF: Datalek - Zorginstelling verslaafden lekt gegevens (11/12/09)



Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-2011 D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.