Website zorgverleners lekt NAW-gegevens, mailadressen, logins en registratienummers van alle leden (11/10/04)

On-page link, opens in this window Beoordeling
On-page link, opens in this window Organisatie
On-page link, opens in this window Betrokkenen
On-page link, opens in this window Soort (persoons)gegevens
On-page link, opens in this window Type incident
On-page link, opens in this window Omschrijving van het incident
On-page link, opens in this window Respons van de organisatie
On-page link, opens in this window Bronnen

Beoordeling

★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)

Organisatie

Nederlandse Vereniging van Vrijgevestigde Psychologen en Psychotherapeuten (NVVP).

Betrokkenen

"alle 1427 aangesloten medische specialisten" (WebWereld, 11/10/04)

Soort (persoons)gegevens

"De NVVP (voluit: Nederlandse Vereniging van Vrijgevestigde Psychologen & Psychotherapeuten) lekt gevoelige gegevens van alle 1427 aangesloten medische specialisten. Hun namen, adressen, mailadressen maar ook loginggegevens voor de NVVP-portalsite zijn buit te maken door middel van een SQL-injectie. De gebruikersnamen en wachtwoorden blijken onversleuteld te zijn opgeslagen. Ook de zogeheten BIG-nummers van de NVVP-leden blijken toegankelijk. Die nummers zijn opgenomen in de BIG-database (Beroepen in de Individuele Gezondheidszorg), die officieel erkende gezondheidswerkers in Nederland registreert." (WebWereld, 11/10/04)

Type incident

Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.

Omschrijving van het incident

"[De verkregen gegevens] zijn buit te maken door middel van een SQL-injectie. De gebruikersnamen en wachtwoorden blijken onversleuteld te zijn opgeslagen." (WebWereld, 11/10/04)

"De website van de Nederlandse Vereniging voor Psychologen en Psychotherapeuten (NVVP) heeft last gehad van meerdere lekken. Een eerst ontdekt SQL-injectielek is maandagmiddag gemeld aan de NVVP en diezelfde avond nog gedicht door [de websitebouwer]. Diverse Webwereld-lezers meldden echter dat er nog andere lekken aanwezig zijn. Webwereld heeft de NVVP en [de websitebouwer] hiervan op de hoogte gesteld." (WebWereld, 11/10/06)

Respons van de organisatie

"Na de melding over - en reparatie van - het eerste lek heeft [de websitebouwer] uitleg gegeven. Het lek heeft 'slechts enkele weken' opengestaan, vertelt eigenaar [...]. 'Het is wel toevallig: we hebben laatst onderhoud uitgevoerd, daarbij zijn wat dingen uit-gecomment en per ongeluk zo blijven staan.' [De websitebouwer] is wel gelijk de rest van de NVVP-site gaan doornemen. Hij voert in ieder geval twee structurele aanpassingen door: de wachtwoord-kwijtfunctie en de wachtwoordopslag worden beveiligd. De wachtwoorden waren namelijk niet versleuteld opgeslagen, dat is nu niet meer het geval. Toch zijn er na publicatie van het Lektober-artikel over de NVVP-site nog meer lekken gevonden. Het gaat dan onder meer over een andere SQL-foutmelding, die volgens de tipgever kan worden uitgebuit. Daarnaast zijn er gaten gevonden in de structuur van het gebruikte CMS (content management systeem). Tot slot stond de van buiten toegankelijke admin-login nog ingesteld op default-waarden. 'Overigens lijkt het er wel op dat het betreffende bedrijf bezig is met het oplossen van de problemen', sluit een hacker zijn tip aan Webwereld af. De door hem gevonden gaten zijn inmiddels ook gedicht. [De websitebouwer] heeft Webwereld dinsdag al verteld dat de website en het CMS van de NVVP relatief oud zijn. 'Het is een jaar of vijf geleden gebouwd. Sindsdien wel geüpdate.' [De websitebouwer] geeft aan dat het een maatwerk-CMS is, wat sindsdien niet meer gedaan is." (WebWereld, 11/10/06)"

Bronnen

Eerste publicatie:
Off-site link, opens in new window WebWereld: Lek3 - psychologensite loopt leeg door SQL-injectie (11/10/04)

Zie verder:
Off-site link, opens in new window WebWereld: Psychologensite lekt door (11/10/06)
Off-site link, opens in new window Rejo Zenger: Gegevens psychologen lekken via verenigingssite (11/10/07)
Off-site link, opens in new window BoF: Datalek - Psychologen website lek door SQL-injectie (11/10/25)



Creative Commons License

Al het oorspronkelijke werk op deze website © 2001-20YY D9D1E2.COM. Op dit werk is een Creative Commons Licentie van toepassing.