zondag 24 oktober 2021

Alles over Dordrecht

Webserver zorginstelling de Hoop "gehackt"

6 december 2011

DORDRECHT - De zogeheten 'webserver' van zorginstelling De Hoop in Dordrecht is gehackt, in goed Nederlands: gekraakt. Gelukkig niet door een kwaadwillende computerkraker, maar een goedwillende, die zichzelf Pompiedompiedom noemt. Pompiedompiedom zet zich in om beveiligingslekken van privégevoelige informatie bloot te leggen.

De webserver, een speciale computer die zorgt voor het beschikbaar stellen van gegevens op het internet, in dit geval dus via een beveiligde omgeving, bleek kwetsbaar voor een zogenaamde 'SQL-injectie'. Hierbij worden aanvragen op een gegevensbank door de kraker op dusdanige wijze aangepast, dat er bijv. gegevens kunnen worden opgevraagd zonder dat hiervoor rechten zijn. Zo kan de kraker dan zonder gebruikersnaam en wachtwoord toegang krijgen tot deze gegevens.

Een SQL-injectie is een al lang bekende manier van aanvallen en vrij gemakkelijk te verhelpen. Dat zorginstelling de Hoop hun webserver dus nog niet voor dit type aanval heeft beschermd, wijst waarschijnlijk erop dat zij met verouderde programmatuur werken, dan wel niet de moeite hebben genomen om het systeem adequaat te beveiligen.

Door de aanval konden de persoonsgegevens van ruim 3000 verslaafden boven water komen. Daarnaast ook interne gegevens, zoals aanmeldingen voor sessies en ook gegevens van sollicitanten en vrijwilligersfuncties konden worden benaderd.

Verder bewaarde de Hoop ook oude gegevens van ex-verslaafden op de webserver, terwijl dit helemaal niet nodig is om het on-line te bewaren. Ook gebruikten ze hetzelfde wachtwoord voor meerdere systemen.

De Hoop heeft overigens adequaat gereageerd op de ontdekking. Ten eerste door de fout direct toe te geven en ten tweede door de website direct niet meer toegankelijk te maken, totdat het probleem was opgelost.

Update 7-12-2011:

Reactie De Hoop

"De Hoop is op 6 december gebeld door een verslaggever van Webwereld. Hij deelde De Hoop  mee dat een bezorgde hacker Webwereld had gewezen op een beveiligingslek in de website.

De hacker is in staat geweest gegevens te benaderen die normaal gesproken niet toegankelijk mogen zijn. De Hoop betreurt dit uiteraard. Daarop is direct de website uit de lucht gehaald. Na een aantal noodzakelijke aanpassingen is de site weer online gebracht.

De Hoop hecht eraan erop te wijzen - wat overigens ook door Webwereld.nl is geschreven - dat op geen enkele wijze patiëntengegevens van hulpvragers van De Hoop publiek zijn geworden.

Hoewel De Hoop de situatie als erg ongelukkig bestempelt, vindt De Hoop dat zij correct is benaderd door Webwereld. De Hoop heeft de mogelijkheid benut om noodzakelijke verbeteringen in de beveiliging door te voeren. Het spreekt voor zich dat we er alles aan blijven doen om herhaling te voorkomen."

Deel dit bericht met je vrienden!