Datalek: Psychologen website lek door SQL-injectie

Bits of Freedom heeft haar Zwartboek Datalekken alweer uitgebreid. De website van de Nederlandse Vereniging voor Psychologen en Psychotherapeuten lekte NAW-gegevens, e-mailadressen, logingegevens en registratienummers van alle leden.

De NVVP, de Nederlandse Vereniging van Vrijgevestigde Psychologen & Psychotherapeuten, lekt gevoelige gegevens van alle 1.427 aangesloten medische specialisten. Hun namen, adressen, e-mailadressen en ook logingegevens voor de NVVP-portalsite zijn buit te maken door middel van een SQL-injectie. Bij een SQL-injectie wordt de invoer van de gebruiker, zoals het paginanummer of een zoekterm, onvoldoende gecontroleerd. De gebruiker kan daardoor extra opdrachten aan de databank achter de website geven. Op die manier wordt informatie toegankelijk die dat anders niet is.

De gebruikersnamen en wachtwoorden bleken onversleuteld te zijn opgeslagen. De wachtwoord-kwijtfunctie en de wachtwoordopslag is volgens de web-designer nu wel beveiligd. Het lek heeft volgens de website ontwikkelaar enkele weken opengestaan.

Bits of Freedom houdt een Zwartboek Datalekken bij om aandacht te vragen voor een groeiend probleem: er wordt steeds meer informatie over ons opgeslagen, en het risico dat de verantwoordelijke de controle over de informatie verliest groeit daarmee ook. Bits of Freedom heeft tegelijkertijd een tekstvoorstel voor een wetsartikel geschreven dat beheerders van databanken verplicht om datalekken direct te melden. Zij heeft dat tekstvoorstel toegelicht in een position paper.

Gerelateerde berichten:

• Datalek: Amsterdams escortbureau lekt gegevens (21/10/11 10:18)
• Datalek: Vereniging van psychologen lekt cliëntgegevens (14/03/12 16:16)
• Datalek: Gemeente Den Helder lekt gegevens 1600 burgers (31/08/11 10:36)
• Datalek: website integriteitsbureau lek (16/08/11 18:02)
• Datalek: Zorgnet Limburg lekt prive gegevens (26/09/11 11:51)

Reacties:

Er zijn nog geen reacties op dit bericht.