GGD-websites lekken e-mailadressen

Meer dan 130 databanken achter zo’n vijftig website, met name van de GGD, zijn door slechte beveiliging voor de hele wereld toegankelijk geweest.

In het artikel Privégegevens gelekt via GGD-websites op Webwereld:

Bijna 50 websites, met name van de GGD, hebben privégegevens gelekt door een gat in cms cBase2. Daardoor waren mogelijk gevoelige gegevens voor aanvallers in te zien. Het gaat om 136 databases.

Een SQL-injectie kan misbruikt worden als gebruikersinvoer niet wordt gecheckt op ongewenste code. […]

De Amsterdamse websitebouwer Orangehill heeft daarop de problemen in cBase snel opgelost. Het bedrijf mailt aan de hacker dat deze software een beperkt cms is. Bovendien is het sterk verouderd. Het cms is in 2004 geschreven, in classic ASP. Het wordt sinds 2010 niet meer ondersteund. De klanten van het bedrijf zijn daarvan op de hoogte gebracht, maar zijn nog niet allemaal overgestapt.

In een reactie aan Webwereld laat Vincent Somers, directeur van Orangehill, weten dat er geen gevoelige informatie gelekt is. Patiëntinformatie staat volgens hem bij de gekraakte organisaties namelijk in een eigen systeem met een eigen database en dus niet op deze server. In de databases hier is hooguit publieksinformatie te vinden. Hij erkent wel dat er mogelijk bijvoorbeeld e-mailadressen in de database aanwezig waren.