Softwarebedrijf erkent falende beveiliging database

Redactie

Softwarebedrijf VCD geeft toe dat zijn medische database Humannet niet goed was beveiligd. Hackers konden in het 'ernstigste geval' zelfs het beheer van de server overnemen. Dat staat in een vertrouwelijke brief die in handen is van Zembla.

Het televisieprogramma zond vorige week een reportage over het lek uit. In de uitzending was te zien dat medische en persoonlijke gegevens van meer dan driehonderdduizend werknemers maandenlang op straat lagen. De database bleek niet te zijn beveiligd tegen zogeheten SQL-aanvallen waardoor gemakkelijk bedrijfsgegevens konden worden ingezien.

Vorige week meldde VCD nog in een reactie dat hackers vermoedelijk inlogwachtwoorden in handen hebben gekregen. Een woordvoerder van het bedrijf zegt tegen Zembla dat nu rekening wordt gehouden met een SQL-aanval. Het is overigens nog onduidelijk of inmiddels alle lekken zijn gedicht.

Na de berichtgeving van Zembla toonde de Tweede Kamer zich vrijdag geschokt over het nieuws. Diverse politici eisten opheldering over de kwestie. Demissionair minister van Volksgezondheid Edith Schippers (VVD) heeft inmiddels toegezegd dat er een onderzoek komt naar het lek.

dinsdag 24 april 2012, 16:33 uur #1

crono7

Een simpele SQL injectie.. Wat een faal zeg.

dinsdag 24 april 2012, 16:35 uur #2

Schepseltje

rip

quote:
Na de berichtgeving van Zembla toonde de Tweede Kamer zich vrijdag geschokt over het nieuws.

Als je dit schokkend vindt ben je wel heel wereldvreemd..
En dit stelletje digibeten gaat beslissen over het EPD..

dinsdag 24 april 2012, 16:39 uur #3

dikkeder

quote:
Op dinsdag 24 april 2012 @ 16:33 schreef crono7 het volgende:
Een simpele SQL injectie.. Wat een faal zeg.

Idd, het voorkomen van zo'n aanval is 10 minuten werk voor iemand met een beetje verstand van zaken. Prutsers.

dinsdag 24 april 2012, 16:39 uur #4

xzaz

McBacon to the rescue!

EPD is er ook al lang, het zijn alleen geen gekoppelde systemen.. de gegevens zijn gewoon overal benaderbaar. Noem het gewoon SEPD (semi...) en je bent klaar.

De overheid moet wel een nieuwe generatie krijgen, als ze hier al van geschokt zijn.. ze moeten eens weten.

dinsdag 24 april 2012, 16:43 uur #5

Electrood

Ze geven zo'n bedrijf opdracht om het te maken,maar controleren of het wel aan databeveiliging doet,doen ze niet!

dinsdag 24 april 2012, 16:43 uur #6

LucasHulshof

Muze

quote:
Op dinsdag 24 april 2012 @ 16:35 schreef Schepseltje het volgende:

Als je dit schokkend vindt ben je wel heel wereldvreemd..
En dit stelletje digibeten gaat beslissen over het EPD..

Euh, het EPD is al exit. Dat hebben die digitbeten uit de eerste kamer gedaan.

dinsdag 24 april 2012, 16:45 uur #7

metromuis

Haha dat hoeven ze echt niet te erkennen hoor, het was namelijk gewoon zo

En nu maar hopen op het faillissement.

dinsdag 24 april 2012, 16:54 uur #8

Ofyles2

Bestemming: onbekend

Daarom moet je gebruikers ook als hackers behandelen.

Als programmeur moet je niet bang zijn je gebruikers meermaals te fouilleren.

Afscheidsrede

dinsdag 24 april 2012, 16:55 uur #9

quote:
Op dinsdag 24 april 2012 @ 16:45 schreef metromuis het volgende:
Haha dat hoeven ze echt niet te erkennen hoor, het was namelijk gewoon zo En nu maar hopen op het faillissement.

Net als Diginotar.

Ik blijf me verbazen hoe zulke ICT-kolossen lange tijd hun tekortkomingen ontkennen totdat ze schaakmat staan.

dinsdag 24 april 2012, 16:56 uur #10

quote:
Op dinsdag 24 april 2012 @ 16:43 schreef Electrood het volgende:
Ze geven zo'n bedrijf opdracht om het te maken,maar controleren of het wel aan databeveiliging doet,doen ze niet!

Ik vermoed dat de top van VerzuimReductie innige banden had met de bovensten van VCD. Dan let je steeds minder op vakkundigheid...

dinsdag 24 april 2012, 17:12 uur #11

Loei

quote:
Op dinsdag 24 april 2012 @ 16:39 schreef dikkeder het volgende:
[..]

Idd, het voorkomen van zo'n aanval is 10 minuten werk voor iemand met een beetje verstand van zaken. Prutsers.

En dan te denken dat dit een redelijk standaard gat in de beveiliging is. Als je een beetje zoekt, kun je in een avondje een heleboel internet sites in de war brengen hoor.

dinsdag 24 april 2012, 17:29 uur #12

Akziom

...om vervolgens te concluderen dat er bij het EPD 'geen reëel risico bestaat' en het te laten implementeren (voor een belachelijk budget dat ook nog eens 3x wordt overschreden) door minstens zulke incompetente faalhazen als bovengenoemd prutsbedrijf.

Zolang niemand verantwoordelijk is, verandert er niets. En er is niemand verantwoordelijk. Van zo'n bedrijf wat overduidelijk wanprestaties levert, wordt geen geld teruggeclaimd of een boete opgelegd. De verantwoordelijke minister evenmin. Niemand wordt eruit getrapt (of anders met een dermate perverse gouden handdruk dat diegene gelijk met pensioen kan, nou wat een straf!), geen oneervol ontslag op staande voet zonder uitkering of wachtgeld, niemand draait voor de schade op, en die onbenullen uit de TK gaan gewoon door met 'geschokt' zijn.

Daarom wil ik dus niet in het EPD. En "niet in het EPD" betekent dus niet: wel in het EPD met de 'hidden' flag op true, maar NIET in het EPD.

Reageer zelf

Om te kunnen reageren moet je zijn ingelogd op FOK.nl. Als je nog geen account hebt kun je gratis een FOK!account aanmaken

Softwarebedrijf erkent falende beveiliging database

Lees ook

14 reacties