Beoordeling
Organisatie
Betrokkenen
Soort (persoons)gegevens
Type incident
Omschrijving van het incident
Respons van de organisatie
Bronnen
★★★ (het datalek is opgenomen in de overzichten van BoF, Karin Spaink en / of Rejo Zenger)
Nederlandse Vereniging van Vrijgevestigde Psychologen en Psychotherapeuten (NVVP).
"alle 1427 aangesloten medische specialisten" (WebWereld, 11/10/04)
"De NVVP (voluit: Nederlandse Vereniging van Vrijgevestigde Psychologen & Psychotherapeuten) lekt gevoelige gegevens van alle 1427 aangesloten medische specialisten. Hun namen, adressen, mailadressen maar ook loginggegevens voor de NVVP-portalsite zijn buit te maken door middel van een SQL-injectie. De gebruikersnamen en wachtwoorden blijken onversleuteld te zijn opgeslagen. Ook de zogeheten BIG-nummers van de NVVP-leden blijken toegankelijk. Die nummers zijn opgenomen in de BIG-database (Beroepen in de Individuele Gezondheidszorg), die officieel erkende gezondheidswerkers in Nederland registreert." (WebWereld, 11/10/04)
Inbreuk op de vertrouwelijkheid van de verwerkte gegevens.
"[De verkregen gegevens] zijn buit te maken door middel van een SQL-injectie. De gebruikersnamen en wachtwoorden blijken onversleuteld te zijn opgeslagen." (WebWereld, 11/10/04)
"De website van de Nederlandse Vereniging voor Psychologen en Psychotherapeuten (NVVP) heeft last gehad van meerdere lekken. Een eerst ontdekt SQL-injectielek is maandagmiddag gemeld aan de NVVP en diezelfde avond nog gedicht door [de websitebouwer]. Diverse Webwereld-lezers meldden echter dat er nog andere lekken aanwezig zijn. Webwereld heeft de NVVP en [de websitebouwer] hiervan op de hoogte gesteld." (WebWereld, 11/10/06)
"Na de melding over - en reparatie van - het eerste lek heeft [de websitebouwer] uitleg gegeven. Het lek heeft 'slechts enkele weken' opengestaan, vertelt eigenaar [...]. 'Het is wel toevallig: we hebben laatst onderhoud uitgevoerd, daarbij zijn wat dingen uit-gecomment en per ongeluk zo blijven staan.' [De websitebouwer] is wel gelijk de rest van de NVVP-site gaan doornemen. Hij voert in ieder geval twee structurele aanpassingen door: de wachtwoord-kwijtfunctie en de wachtwoordopslag worden beveiligd. De wachtwoorden waren namelijk niet versleuteld opgeslagen, dat is nu niet meer het geval. Toch zijn er na publicatie van het Lektober-artikel over de NVVP-site nog meer lekken gevonden. Het gaat dan onder meer over een andere SQL-foutmelding, die volgens de tipgever kan worden uitgebuit. Daarnaast zijn er gaten gevonden in de structuur van het gebruikte CMS (content management systeem). Tot slot stond de van buiten toegankelijke admin-login nog ingesteld op default-waarden. 'Overigens lijkt het er wel op dat het betreffende bedrijf bezig is met het oplossen van de problemen', sluit een hacker zijn tip aan Webwereld af. De door hem gevonden gaten zijn inmiddels ook gedicht. [De websitebouwer] heeft Webwereld dinsdag al verteld dat de website en het CMS van de NVVP relatief oud zijn. 'Het is een jaar of vijf geleden gebouwd. Sindsdien wel geüpdate.' [De websitebouwer] geeft aan dat het een maatwerk-CMS is, wat sindsdien niet meer gedaan is." (WebWereld, 11/10/06)"
Eerste publicatie:
WebWereld: Lek3 - psychologensite loopt leeg door SQL-injectie (11/10/04)
Zie verder:
WebWereld: Psychologensite lekt door (11/10/06)
Rejo Zenger: Gegevens psychologen lekken via verenigingssite (11/10/07)
BoF: Datalek - Psychologen website lek door SQL-injectie (11/10/25)