Privacygevoelige info duizenden studenten op straat
Een site met persoonlijke data van duizenden studenten blijkt lek. BSN's, wachtwoorden, arbeidsongeschiktheids- percentages, adresgegevens en cv's waren eenvoudig toegankelijk.
Dat blijkt uit onderzoek van ethisch hacker Pompiedompiedom. Hij ontdekte dat de website van Zorgnet Limburg gevoelig is voor een basaal SQL-injectielek. De website is een onderdeel van Zorg aan Zet Limburg dat arbeidsmarktprojecten in de provincie uitvoert, waarbij het zowel om werk als opleiding gaat.
Privacygevoelige gegevens
Het gaat om een database met cv's in verschillende vormen. Afhankelijk van de vorm variëren de aantallen de 300 en 5500 mensen. Opgeteld zou het om zo'n tienduizend personen gaan, maar omdat er geen reden is om daadwerkelijk gegevens op te halen, is het onduidelijk of mensen dubbel in de database staan.
Volgens de tabelstructuur gaat het niet alleen om het contentmanagement systeem en gegevens van sollicitanten, zoals naam, adres en woonplaats, maar ook om andere gevoelige gegevens. Zo wordt het Burgerservicenummer bewaard, bijgehouden of er sprake is van arbeidsongeschiktheid, met welk wachtwoord mensen zich aanmelden, eerdere opleiding en werkervaring.
Schandalig
Pompiedompiedom doet al langer onderzoek naar basale zwakheden bij maatschappelijk relevante organisaties. Hij wil met de onthullingen de problematiek van slecht beheerde privacygevoelige gegevens onder de aandacht brengen.
"Schandalig dat er WÉÉR gegevens van duizenden mensen te grabbel gegooid worden. En dan gaat het niet alleen om NAW-gegevens, wat al erg genoeg is, maar ook nog om uiterst gevoelige informatie als SOFI/BSN-nummers en percentages van arbeidsongeschiktheid!", reageert hij dan ook verontwaardigd. "Een organisatie die zulke gegevens in bezit heeft heeft de plicht om te zorgen dat deze gegevens goed beveiligd zijn. Dit soort beveiligingsflaters zijn om te huilen!"
Snel oppakken
Zorg aan Zet en verantwoordelijke websitebouwer Sebastiaan Projecten zeggen in een reactie geschokt te zijn. Direct na confrontatie door Webwereld is de website aangepast, waardoor het lek niet meer bestaat.
Zorgnet Limburg heeft de website offline laten houden. "Ik houd de leverancier van onze software verantwoordelijk voor deze ernstige tekortkoming en zal ook gepaste maatregelen nemen. Wij hebben al enige tijd geleden voor aanstaande donderdag een afspraak gemaakt met Sebastian om over hun service en dienstverlening te praten", zegt directeur Joep Mooren tegenover Webwereld. Hij is vooral teleurgesteld. Door extra beveiligingsmaatregelen moeten toekomstige problemen voorkomen worden.
bron: security.nl