Ethisch hacker vindt datalek bij LHV en NHG
Plaats een reactieEthisch hacker en huisarts Jonathan Bouman vond begin december een datalek bij de Landelijke Huisartsen Vereniging (LHV) en het Nederlands Huisartsen Genootschap (NHG). ‘Het datalek is binnen 48 uur opgelost, en alle huisartsen die het betreft zijn per mail op de hoogte gebracht.’
Bouman stuitte op het datalek toen hij wilde inloggen bij de LHV om zijn contributie aan te passen. ‘Ik zag iets in de broncode, en klikte verder om te zien of de beveiliging van de website in orde was.’ Het lukte hem om toegang te krijgen tot een deel van de inloggegevens van het HAweb-inlogsysteem, een gezamenlijk systeem van de LHV en het NHG.
De LHV meldt dat onbevoegden door het datalek toegang konden krijgen tot de volgende gegevens van huisartsen: naam, e-mailadres, BIG-nummer, lidnummer en versleutelde wachtwoorden. ‘Maar er zijn geen aanwijzingen dat er ook daadwerkelijk gegevens gelekt zijn’, aldus een woordvoerder van de LHV. De LHV en het NHG hebben alle leden die gebruikmaken van de HAweb-omgeving op de hoogte gebracht en gevraagd om hun wachtwoord te wijzigen. Daarnaast is het datalek gemeld bij de Autoriteit Persoonsgegevens.
Legaal hacken
De LHV heeft een ‘Coordinated Vulnerability Disclosure’ op hun website staan. Bouman: ‘Hierin staat volgens welke spelregels je de website mag hacken zonder dat dit strafbaar is. Zodat ethisch hackers kunnen onderzoeken of de beveiliging in orde is.’ In de policy staat bijvoorbeeld dat het datalek verholpen moet zijn, voordat een hacker dit naar buiten brengt. ‘Eenmaal opgelost mag je er vrij over praten, zodat anderen ervan kunnen leren. Alle organisaties zouden zo’n policy op hun website moeten hebben.’
Daarnaast staat volgens Bouman in de policy dat hackers niet onnodig veel gegevens mogen opvragen. ‘Zelf heb ik acht ID’s opgevraagd om aan te tonen dat deze fout toegang gaf tot de gegevens van andere leden. Ik heb niet geprobeerd om de toegang tot de gegevens van alle huisartsen te krijgen.’
De LHV is blij dat Bouman het lek heeft gevonden. ‘Het is fijn dat het gevonden is door een ethisch hacker, die met goede bedoelingen naar onze systemen heeft gekeken. We waren van plan om in 2023 de veiligheid van de website door te lichten, dat is nu iets eerder gebeurd.’
Details over het lek zijn hier terug te lezen: Unprotected API endpoint at hawebsso.nl leaks 15k doctors usernames and hashed passwords | Medium
Lees ook- Er zijn nog geen reacties