Zorginstelling verslaafden lekt persoonsgegevens

Afbeelding: Cocaine van Valerie Everett | Licentie: CC BY-SA

Een SQL-injectie was voldoende voor publieke toegang tot persoonlijke gegevens van klanten van zorginstelling De Hoop.

In het artikel Zorginstelling verslaafden lekt persoonsgegevens schrijft Webwereld:

Hij ontdekte dat de webserver van De Hoop, een wereldwijd bekende organisatie op het gebied verslavingszorg en geestelijke gezondheidszorg, gevoelig is voor een SQL-injectionaanval. In totaal gaat het om tientallen sites.

De server met de database is inmiddels offline gehaald, maar er is veel gevoelige informatie beschikbaar geweest. Daarbij ging het onder andere om de persoonsgegevens van ruim 3300 klanten, waaronder naam, adres, bankrekeningnummer, e-mailadres, gebruikersnaam om in te loggen met bijbehorend leesbaar wachtwoord.

Ook gegevens over aanmeldingen voor familiesessies, bijeenkomsten voor pastores en andere bijeenkomsten staan in de database, net als de die van 1396 sollicitanten voor een baan, en 237 sollicitaties voor vrijwilligerswerk. Ook lijsten met ‘oude’ sollicitaties en andere tabellen bleken toegankelijk. […] De verschillende beheeraccounts van de website worden verder afgeschermd door hetzelfde wachtwoord (admin2themax). Hierdoor bleek het mogelijk om volledige toegang te krijgen tot de websites.

De instelling erkent het probleem, maar benadrukt dat er geen patiĆ«ntgegevens tussen zitten. […] Hij bevestigt dat soms gegevens te lang zijn bewaard. […] Nadat Webwereld het lek heeft gemeld aan De Hoop, heeft de organisatie meteen actie ondernomen. De websites zijn offline gehaald en komen na inspectie weer online.