D9D1E2

Datalekken in Nederland

2012

Verzuimapplicatie lekt persoonsgegevens door vatbaarheid voor SQL-injectie (12/04/20)

[Organisatie | Verwerking | Betrokkenen | Soort (persoons)gegevens | Type incident | Beschrijving van het incident | Respons van de organisatie | Bronnen]

Organisatie

VCD / diverse verantwoordelijken.

Verwerking

Humannet.

Betrokkenen

"[...] meer dan 300.000 werknemers [...]" [Bron]

Soort (persoons)gegevens

"Ze verwerken in deze verzuimapplicatie adresgegevens, verzuim, herstel en re-integratie van hun werknemers. Medische dossiers van de bedrijfsartsen staan er ook in, evenals burgerservice-nummers." [Bron]

Type incident

Inbreuk op de beveiliging en potentieel op beschikbaarheid, integriteit en vertrouwelijkheid.

Beschrijving van het incident

"ZEMBLA ontdekt het lek na de uitzending 'De Verzuimpolitie' van 23 maart j.l., waarin werd aangetoond dat het Hengelose bedrijf Verzuimreductie structureel de privacy van zieke werknemers schendt. Oplettende kijkers zien dat Verzuimreductie werkt in de verzuimapplicatie Humannet en mailen naar de redactie: 'Zonder te hoeven inbreken, kan ik zien dat dit systeem zo lek is als een mandje. Humannet is vatbaar voor zogeheten SQL injecties, wat een veel voorkomende beveiligingsfout is.' Een andere kijker is al een stap verder gegaan. Via een eenvoudige hackpoging achterhaalt hij een gebruikersnaam en wachtwoord. En zo kan hij in de database met medische gegevens, zo is te zien in ZEMBLA. [Een hoogleraar] heeft aan de Universiteit zelf de proef op de som genomen en gekeken of het beveiligingssysteem van VCD Humannet inderdaad makkelijk te omzeilen is. 'Wij hebben ook een SQL-aanval gedaan. We waren binnen een kwartier in het systeem en hadden daarmee controle over een beheersaccount. De toegang hiertoe is zo laagdrempelig, het is bijna uitlokking', aldus [de hoogleraar]." [Bron]

"In een uitzending van actualiteitenprogramma Zembla toonde [een softwareontwikkelaar] hoe op een verouderde inlogpagina via zogeheten sql-injectie toegang tot het verzuimregistratiesysteem kon worden gekregen. Met het achterhaalde wachtwoord en password van de systeembeheerder van een klant konden alle dossiers van deze onderneming worden ingezien." [Bron]

Respons van de organisatie

"ZEMBLA heeft, zodra er zekerheid bestond over het lek, dit gemeld bij VCD. [De directeur van VCD] ontkent in eerste instantie dat zijn computerprogramma kinderlijk eenvoudig is gehackt: 'Er zijn drie zwakke plekken in het systeem. We weten niet hoelang die zwakke plekken er in hebben gezeten. Wij hebben een extern bedrijf ingezet om de problemen op te lossen.' Later geeft [de directeur] toe dat hij niet kan uitsluiten dat er een SQL-aanval heeft plaatsgevonden. [...] Verzuimreductie heeft Humannet 'uit de lucht gehaald' vanwege concrete aanwijzingen van geslaagde inbraakpogingen. Ze vinden het onverantwoord om in deze applicatie te werken." [Bron]

"Als antwoord op de onduidelijkheid rondom veiligheid van het online verzuimregistratiesysteem Humannet Starter heeft VCD IT het systeem beveiligd met een zogeheten intrusion detection system. Bovendien wordt alle verkeer naar het systeem door een externe partij realtime bewaakt en geanalyseerd met zo'n zelfde systeem. Dit moet er voor zorgen dat er direct tegen eventuele aanvallen kan worden opgetreden. Twee externe partijen die Humannet Starter op verzoek van VCD IT doorlichtten, ontdekten volgens de onderneming drie zwakke plekken in het systeem. Maatregelen om de kwetsbaarheid op te heffen zijn inmiddels door het bedrijf genomen. Bovendien zijn extra beveiligingsmaatregelen genomen. Zo heeft VCD IT alle inlogwachtwoorden van klanten gereset." [Bron]

"Het omstreden arbobedrijf Verzuimreductie gaat alle dossiers vernietigen waarin ten onrechte persoonlijke gegevens van zieke medewerkers zijn opgenomen. Het gaat om tienduizenden dossiers die zijn opgesteld sinds de start van het bedrijf ongeveer acht jaar geleden, laat een woordvoerder van Verzuimreductie maandag weten." [Bron]

Bronnen

AG: 'Medische gegevens 300.000 mensen op straat' (12/04/20)
[Open link in dit venster | Open link in nieuw venster]

AG: Humannet erkent inbraak dossiers (12/04/20)
[Open link in dit venster | Open link in nieuw venster]

AG: Opinie - Dom, dom, dom... (12/04/20)
[Open link in dit venster | Open link in nieuw venster]

AG: Roep om boetes na lek medische gegevens (12/04/20)
[Open link in dit venster | Open link in nieuw venster]

Computable: VCD blundert met online verzuimregistratie (12/04/20)
[Open link in dit venster | Open link in nieuw venster]

Nu.nl: Discussie om privacy laait op na lek (12/04/20)
[Open link in dit venster | Open link in nieuw venster]

SOLV: Roep om harde maatregelen na datalekken medische gegevens (12/04/20)
[Open link in dit venster | Open link in nieuw venster]

Security.nl: Verzuimapplicatie lekt 300.000 medische dossiers (12/04/20)
[Open link in dit venster | Open link in nieuw venster]

Tweakers.net: Lek in verzuimsoftware gaf toegang tot gegevens 300.000 mensen (12/04/20)
[Open link in dit venster | Open link in nieuw venster]

WebWereld: Verzuimsoftware lekt duizenden medische dossiers (12/04/20)
[Open link in dit venster | Open link in nieuw venster]

Zembla: Honderdduizenden medische dossiers toegankelijk (12/04/20)
[Open link in dit venster | Open link in nieuw venster]

Computable: Verzuimreductie zet Humannet weer live (12/04/23)
[Open link in dit venster | Open link in nieuw venster]

AG: VCD - hacken database was eenvoudig (12/04/24)
[Open link in dit venster | Open link in nieuw venster]

Nu.nl: 'Hacken database Humannet was eenvoudig' (12/04/24)
[Open link in dit venster | Open link in nieuw venster]

WebWereld: Meer gaten in medische database Humannet (12/04/24)
[Open link in dit venster | Open link in nieuw venster]

Nu.nl: Omstreden arbobedrijf vernietigt dossiers (12/06/11)
[Open link in dit venster | Open link in nieuw venster]

Computable: Beveiliging medische gegevens moet beter (12/06/12)
[Open link in dit venster | Open link in nieuw venster]

.