Zorgnet Limburg lekt gegevens studenten

Afbeelding: Wheelchair in shades van Marcel Oosterwijk | Licentie: CC BY-SA

De website van Zorgnet Limburg lekte eerder de gevoelige gegevens van vele duizenden studenten. Ondermeer CV’s waren toegankelijk.

Webwereld schrijft in Privacygevoelige info duizenden studenten op straat:

Een site met persoonlijke data van duizenden studenten blijkt lek. BSN’s, wachtwoorden, arbeidsongeschiktheids- percentages, adresgegevens en cv’s waren eenvoudig toegankelijk.

[…] Hij ontdekte dat de website van Zorgnet Limburg gevoelig is voor een basaal SQL-injectielek. De website is een onderdeel van Zorg aan Zet Limburg dat arbeidsmarktprojecten in de provincie uitvoert, waarbij het zowel om werk als opleiding gaat.

Het gaat om een database met cv’s in verschillende vormen. Afhankelijk van de vorm variĆ«ren de aantallen de 300 en 5500 mensen. Opgeteld zou het om zo’n tienduizend personen gaan, maar omdat er geen reden is om daadwerkelijk gegevens op te halen, is het onduidelijk of mensen dubbel in de database staan.

Volgens de tabelstructuur gaat het niet alleen om het contentmanagement systeem en gegevens van sollicitanten, zoals naam, adres en woonplaats, maar ook om andere gevoelige gegevens. Zo wordt het Burgerservicenummer bewaard, bijgehouden of er sprake is van arbeidsongeschiktheid, met welk wachtwoord mensen zich aanmelden, eerdere opleiding en werkervaring.