De online verzuimapplicatie voor personeel Humannet van leverancier VCD Automatisering is slecht beveiligd door een gevoeligheid voor zogeheten SQL-aanvallen. Hierdoor zijn circa driehonderdduizend personeelsdossiers met medische gegevens vrij eenvoudig toegankelijk te maken. Onder andere de gegevens van de spelers van FC Twente liggen hierdoor op straat, constateert het televisieprogramma Zembla. Het programma besteedt op 20 april 2012 aandacht aan het lek.
VCD levert Humannet al zeven jaar. Het wordt onder andere gebruikt voor het bijhouden van verzuimgegevens van medewerkers van de gemeente Deventer, Praxis, Bijenkorf, V&D, Hornbach, Beter Bed en Action. Door het lek hadden redacteuren van Zembla toegang tot medische gegevens, maar ook telefoonnummers en adressen van medewerkers van bedrijven en organisaties die de toepassing gebruiken.
In de Zembla-uitzing komt onder andere hoogleraar privacy en computerbeveiliging Bart Jacobs van de Radboud Universiteit Nijmegen aan het woord. Volgens hem gaat het om het grootste lek van persoonlijke en medische data in de Nederlandse geschiedenis: ‘Dit is een nachtmerrie-scenario. Dat dit zo op straat ligt, vind ik werkelijk schokkend. Je kunt mensen hiermee chanteren.'
Ook directeur Sjouke Kuindersma komt in de uitzending aan het woord. Hij zegt dat Humannet niet lek is, maar dat Zembla gebruik heeft gemaakt van gestolen wachtwoorden. Dat wordt tegengesproken door hoogleraar Jacobs, die zelf het systeem binnen is gekomen.
Politie
Aanvankelijk wilde VCD volgens de makers van het programma niets van de kwetsbaarheid van het systeem weten. Toen een Zembla-redacteur van het programma de vondst in Groningen wilde toelichten, besloot het bedrijf zelfs de politie te bellen.
Volgens eigen zeggen is VCD met Hummannet marktleider op het gebied van webbased verzuimapplicaties in Nederland. Via de applicatie worden preventie, verzuim, herstel en re-integratie van honderdduizenden werknemers accuraat gevolgd. De klant heeft op elk gewenst moment en vanaf elke locatie inzicht in , toezicht op en overzicht over hun verzuimproces.
Een folder op de website van VCD meldt dat bij de ontwikkeling gebruik werd gemaakt van . Net en Ajax. Over de beveiliging van de webapplicatie meldt het stuk niets.
@Rein Dekker. Het dubbele zit hem in het aantonen van een veiligheidslek door een bedrijf te hacken en vervolgens dat bedrijf publiekelijk aan de schandpaal te nagelen. Dat vind ik minstens zo crimineel als ordinair “cracken”.
In het Zembla artikel wordt zelfs gezegd dat de gegevens op straat liggen. Maar het aantonen van een beveiligingslek alleen is toch heel wat anders dan dat de gegevens ook voor iedereen zijn in te zien.
Hoge boetes zouden er moeten komen voor beveiligingslekken. Welja, en wat gaat er dan met dat geld gebeuren: wordt het ingezet voor de opsporing van “crackers”? Wordt de opbrengst van verkeersboetes ook gebruikt voor het opsporen van wegmisbruikers? Natuurlijk niet, net zomin als de verzekering uitkeert als je je deur niet op slot had.
En da’s toch raar: waar je thuis aparte beveiliging dient te installeren of in te huren voor jouw spullen, geldt voor ICT dat je daar niet zelf verantwoordelijk voor bent. Maar wie is eigenaar van de gegevens? En wie is daar dus verantwoordelijk voor? Juist.
Ik moet de eerste “voordeurhacker” nog tegenkomen. Iemand die een briefje op tafel legt waarop staat dat hij binnen is geweest en dat het misschien handig is je huis beter te beveiligen. Als die zijn naam er onder zet heeft ie een probleem. Zo niet in ICT land. Daar moeten we ze dankbaar zijn.
@hk welkom in de 21e eeuw. Met enige regelmaat vind ik een kaartje van de politie onder mijn ruitenwisser, waarbij men heeft geconstateerd dat er geen zichtbare voorwerpen van waarde in mijn auto lagen en dat de portieren waren afgesloten. Echte voordeurhackers met briefje dus.
VCD is vooraf door Zembla in de gelegenheid gesteld om e.e.a. recht te zetten, maar heeft dat beantwoord met de politie. Men wilde dat briefje netjes neerleggen. De schandpaal kwam daaruit voort.
De eigenaar van de gegevens is in de eerste plaats verantwoordelijk voor het beveiligen van die gegevens, maar dient daarbij ondersteund te worden door, in dit geval, de leverende partij VCD. Daar zit ook een stuk vertrouwen in. Als je een valhelm koopt bij een speciaalzaak, ga je er ook vanuit dat hij het doet.
I.p.v. hoge boetes zie ik meer in een soort (iso-)certificering voor beveiliging. Dan kan je dat ook in je pakket van eisen meenemen bij het zoeken naar leveranciers of bij aanbesteding.