Softwarebedrijf VCD geeft toe dat hun medische database Humannet niet goed was beveiligd. In een brief die in bezit is van ZEMBLA bevestigt VCD dat derden op ‘eenvoudige wijze toegang konden krijgen tot informatie aangaande verzuimdossiers van medewerkers’. Dat dit mogelijk was, is volgens het bedrijf ‘volkomen onacceptabel’.
Vertrouwelijk document
Op 20 april was in de ZEMBLA uitzending 'De verzuimpolitie' te zien dat het computerprogramma Humannet vatbaar was voor SQL-aanvallen. De uitzending toonde aan dat de persoonlijke en medische dossiers van 300.000 werknemers niet goed waren beveiligd. Uit een vertrouwelijk document van IT security bedrijf FOX IT, dat ZEMBLA na de uitzending in handen krijgt, blijkt dat de beveiliging van de database VCD Humannet een aantal grote kwetsbaarheden bevatte. Hackers zouden in het ‘ernstigste geval’ zelfs het beheer van de server kunnen overnemen, zo schrijft FOX IT in een rapport dat is opgesteld in opdracht van VCD. Dit document is ook in bezit van ZEMBLA en is vandaag op de website geplaatst.
Vertrouwelijk document: ‘Humannet vatbaar voor SQL injecties’
Een kapitale beveiligingsfout
FOX IT heeft in opdracht van VCD de beveiliging van de VCD database Humannet getest. Uit het verslag blijkt dat de beveiliging ernstig tekortschiet. “De aangetroffen kwetsbaarheden zouden er in het ernstigste geval toe hebben kunnen leiden dat een aanvaller de webserver overnam.” Volgens professor Chris Verhoef, hoogleraar informatica aan de VU, wijst dit op een kapitale beveiligingsfout. “Het betekent dat hackers het complete beheer kunnen overnemen. Ze zouden bijvoorbeeld verborgen software kunnen installeren, passwords veranderen en alle data kopiëren.” Verder noemt FOX IT het risico op een SQL injectie aanval (een alom bekende beveiligingsfout) ‘hoog’. VCD heeft tot nu toe altijd volgehouden dat onbevoegden slechts met behulp van bestaande de wachtwoorden zijn binnengekomen.
Pogingen tot inbraak
Het is voor het eerst dat VCD toegeeft dat de inbraak te maken heeft met ernstige beveiligingsfouten. In een brief van 21 april aan zijn zakelijke relaties staat: “Wij betreuren het zeer dat men toegang heeft kunnen krijgen tot ons systeem Humannet Starter, uiteraard had dit niet mogen gebeuren.” In eerdere brieven liet het bedrijf in het midden of er daadwerkelijk was ingebroken. Op 13 april informeert VCD zijn klanten dat er ‘pogingen tot inbraak’ zijn geconstateerd. Maar, zo schrijft de software ontwikkelaar: “Zelf hebben wij nog niet kunnen constateren dat vertrouwelijke informatie is blootgelegd.”
In haar communicatie naar klanten en media stelde VCD eerder dat er geen enkel bewijs is dat de site was gehackt. Volgens VCD kwamen ZEMBLA en haar bronnen slechts met behulp van bestaande wachtwoorden in de database.. Deze wachtwoorden zouden volgens VCD vermoedelijk ‘op onrechtmatige wijze’ zijn verkregen. Dat is ook de strekking van de brief die op 19 april naar de relaties wordt verstuurd.
Genante beveiligingsfout
In de ZEMBLA-uitzending van 20 april vertelt professor Bart Jacobs, hoogleraar privacy en computerveiligheid aan de Radboud universiteit in Nijmegen, dat er geen enkele twijfel bestaat dat de website is aangevallen via een SQL injectie. Volgens Jacobs is dit een genante beveiligingsfout die niet mag voorkomen bij een database met zoveel privacygevoelige informatie. Nadat Jacobs door ZEMBLA was gewezen op het lek, heeft Jacobs samen met twee onderzoekers zelf ook een succesvolle SQL injectie aanval uitgevoerd, aldus de hoogleraar.
VCD-woordvoerder Ben Warner geeft desgevraagd aan dat ‘de mogelijkheid van een SQL-aanval inmiddels wel openstaat’. Warner: “We moeten er rekening mee houden dat er dingen zijn gebeurd, die wij niet zien.”
Honderd procent veiligheid niet te garanderen
Volgens FOX IT kan geconcludeerd worden dat VCD inmiddels ‘actief maatregelen heeft genomen om de risico’s (…) weg te nemen’. Maar een garantie dat alle lekken gedicht zijn, kan FOX IT niet geven. Want vanwege de ‘beperkte hoeveelheid beschikbare tijd voor het uitvoeren van de tests’ zijn de onderzoeken uitgevoerd op een ‘best-effort basis’. “Dit betekent dat er meer kwetsbaarheden aanwezig kunnen zijn in de genoemde websites,” aldus FOX IT in het vertrouwelijke document. VCD-woordvoerder Ben Warner geeft ook aan dat ‘honderd procent veiligheid’ niet te garanderen is. “Het is aan de klanten om te besluiten weer met het systeem te gaan werken.”
Aangifte 'pogingen tot inbraak'
VCD meldde eerder dat er aangifte was gedaan van de ‘pogingen tot inbraak’ in hun systeem. Dit betekent volgens Warner niet dat VCD aangifte doet of heeft gedaan tegen ZEMBLA en haar bronnen. Warner: “Daar is geen sprake van. U heeft dit gedaan vanuit uw onderzoeksfunctie. We hebben alleen aangifte gedaan dat er is ingebroken.”
Bekijk de uitzendingen 'De verzuimpolitie' en 'De verzuimpolitie, deel 2' van Ton van der Ham en Manon Blaas
Lees ook het nieuwsbericht: Honderduizenden medische dossiers toegankelijk
