Ziekenhuis lekt gegevens via website

Afbeelding: Martini Ziekenhuis van Thomas Geersing | Licentie: CC BY

Via de website van een ziekenhuis konden niet alleen kaarten aan patiënten gestuurd worden, maar werd ook gegevens gelekt.

Webwereld schrijft in het artikel Ziekenhuis lekt data via beterschapskaartjes:

De website van Tergooiziekenhuizen lekte gegevens van vragenstellers en wachtwoorden van medewerkers via een mogelijkheid om kaartjes te sturen. Het lek is dicht. […] Via de mogelijkheid om een digitale kaart aan patiënten te sturen, was het mogelijk een SQL-injection uit te voeren. […]

Via het lek was het mogelijk om toegang te krijgen tot informatie waarmee beheerders van de site inlogden. Ook wachtwoorden waren daarbij toegankelijk, omdat deze zelf ook onvoldoende versleuteld waren. Aanvallers konden dus inloggen en veranderingen aanbrengen op de site. In de database stond verder het logboek met daarin de inlogpogingen en IP-adressen van gebruikers.

Verder was het mogelijk om toegang te krijgen de Q&A van het ziekenhuis. Via deze dienst konden mensen vragen stellen aan het ziekenhuis, waarbij de vragenstellers wel hun naam moesten geven. […]

Na op de hoogte te zijn gebracht heeft Tergooiziekenhuizen het lek laten dichten.