De online verzuimapplicatie voor personeel Humannet van leverancier VCD Automatisering is slecht beveiligd door een gevoeligheid voor zogeheten SQL-aanvallen. Hierdoor zijn circa driehonderdduizend personeelsdossiers met medische gegevens vrij eenvoudig toegankelijk te maken. Onder andere de gegevens van de spelers van FC Twente liggen hierdoor op straat, constateert het televisieprogramma Zembla. Het programma besteedt op 20 april 2012 aandacht aan het lek.
VCD levert Humannet al zeven jaar. Het wordt onder andere gebruikt voor het bijhouden van verzuimgegevens van medewerkers van de gemeente Deventer, Praxis, Bijenkorf, V&D, Hornbach, Beter Bed en Action. Door het lek hadden redacteuren van Zembla toegang tot medische gegevens, maar ook telefoonnummers en adressen van medewerkers van bedrijven en organisaties die de toepassing gebruiken.
In de Zembla-uitzing komt onder andere hoogleraar privacy en computerbeveiliging Bart Jacobs van de Radboud Universiteit Nijmegen aan het woord. Volgens hem gaat het om het grootste lek van persoonlijke en medische data in de Nederlandse geschiedenis: ‘Dit is een nachtmerrie-scenario. Dat dit zo op straat ligt, vind ik werkelijk schokkend. Je kunt mensen hiermee chanteren.'
Ook directeur Sjouke Kuindersma komt in de uitzending aan het woord. Hij zegt dat Humannet niet lek is, maar dat Zembla gebruik heeft gemaakt van gestolen wachtwoorden. Dat wordt tegengesproken door hoogleraar Jacobs, die zelf het systeem binnen is gekomen.
Politie
Aanvankelijk wilde VCD volgens de makers van het programma niets van de kwetsbaarheid van het systeem weten. Toen een Zembla-redacteur van het programma de vondst in Groningen wilde toelichten, besloot het bedrijf zelfs de politie te bellen.
Volgens eigen zeggen is VCD met Hummannet marktleider op het gebied van webbased verzuimapplicaties in Nederland. Via de applicatie worden preventie, verzuim, herstel en re-integratie van honderdduizenden werknemers accuraat gevolgd. De klant heeft op elk gewenst moment en vanaf elke locatie inzicht in , toezicht op en overzicht over hun verzuimproces.
Een folder op de website van VCD meldt dat bij de ontwikkeling gebruik werd gemaakt van . Net en Ajax. Over de beveiliging van de webapplicatie meldt het stuk niets.
Schokkend, maar waar. We zullen, ook als we steeds meer anywhere, anytime and anyplace willen werken moeten zorgen dat het beschikbaarstellen van gegevens veilig en gecontroleerd plaatsvindt. En laat daar dan ook maar regelmatig een audit op plaatsvinden. Netzoals je regelmatig de boeken door een accountant verplicht moet laten controleren, moeten we wellicht hier ook iets voor gaan verzinnen. Wellicht kunnen we vast beginnen met een ‘stempel als ‘goedgekeurd ihk van security’. Daarnaast is het de vraag of de gegevens die in dit soort systemen staan zowiezo aan deze en gene geschikbaar MAG worden gesteld.
Zo begon de Diginotar affaire ook: de geschiedenis lijkt zich te gaan herhalen ! (en U weet daar meer over dan de directie van VCD Humannet).
@dirk: dit is toch onthutsend!
Het ironische aan deze zaak is dat VCD al jaren beschikt over vervangende verzuimsoftware, die goed beveiligd is tegen dit soort aanvallen. Humannet Starter is een 12 jaar oude klassieke ASP applicatie. Deze had allang uitgefaseerd moeten worden.
Sjouke Kuindersma, Algemeen Directeur van VCD, heeft vrijdag 20 april 2012 voor de regionale televisie verklaard dat er geen lek in de applicatie zit, maar dat sommige applicatiebeheerders en gebruikers niet goed omgaan met de door VCD verstrekte wachtwoorden.
Echter op dezelfde dag verschijnt er op de website van VCD een persbericht waarin VCD toegeeft dat het net alleen aan die domme klanten ligt. “Uit het onderzoek van de door ons ingeschakelde onafhankelijke experts is een aantal punten naar voren gekomen die deze inbreuk wellicht hebben mogelijk gemaakt. Deze punten zijn inmiddels verholpen en extra beveiligd.” Men wil daarbij niet de mogelijkheid erkennen van een SQL injectie, zoals prof. Jacobs heeft aangetoond.
Dit is het zoveelste voorbeeld dat een directeur bij een mislukking niet in staat is om op een professionele wijze met de pers om te gaan. Ze zijn – binnen het eigen bedrijf – zo gewend dat onzin van de baas ogenschijnlijk geaccepteerd wordt, dat ze niet doorhebben dat die houding bij derden nog meer contraproductief is.
@ ICT-er
Het is niet voor het eerst dat zoiets gebeurd. We zagen eerder een tenenkrommende Donner met een oortje in zijn verhaal doen over het Diginotar debacle en later weer hetzelfde met de woordvoerster van KPN bij twee vandaag die iedereen op het hart drukte toch vooral goed en voorzichtig om te gaan met wachtwoorden, dat terwijl een ‘hacker’ claimde die te hebben gestolen van de KPN.
Ook dit voorval moet men echt nemen als signaal IT breed dat men door IT te behandelen als sluitstuk in de begroting, je dit soort grootschalige incidenten over jezelf afroept.
Als je namelijk goed en ervaren personeel aan de kant schuift omdat het crisis is, je vervolgens alleen nog maar jong binnen haalt die nog niet eens op school heeft geleerd wat de basis en wetmatigheden van IT is, dan kan ik je voorspellen, beloven en toezeggen dat we de komende tijd nog veel vaker tegen dit soort zaken aanlopen.
Tot men vanuit de business en overheid eindelijk eens wakker gaat worden dat de besparing die je dacht te halen door inzetten van IT, en hier op zo’n flagrant ondoordachte manier mee om te gaan, de business en overheid miljarden meer aan het kosten is dan dat men dacht te besparen.
Ik ga rustig wachten op de volgende grote calamiteit.
NumoQuest,
Waar mensen werken worden nu eenmaal fouten gemaakt. Dat is in iedere tak van sport zo. Echter verdient VCD niet de hoofdprijs op het gebied van communicatie.
Fouten maken is menselijk echter is het veel belangrijker hoe je er mee omgaat, het communiceert en er uiteindelijk ook nog eens iets van leert.
Laat dit een wijze les zijn voor iedereen. Roep pas iets wanneer je 100% zeker weet dat je gelijk hebt. En geef je fouten toe. Dit levert vaak minder schade op.
Ik krijg hier wel een heel erg dubbel gevoel van. Een hoogleraar die “aantoont” dat een systeem lek is. Wauw, knap hoor. Geen crimineel die dit tot nu toe had verzonnen en al helemaal niet bij dit systeem. Maar ze zijn nu ongetwijfeld wakker geschud en inmiddels willekeurig SQL aanvallen aan het uitvoeren op vergelijkbare oplossingen.
Ook erg: vrijwel zonder uitzondering bevestigen we met zijn allen eens te meer dat inbraak in systemen en diefstal van gegevens algemeen geaccepteerd is en we het volkomen normaal vinden dat in voorkomend geval de schuldvraag bij de leverancier komt te liggen (“je hebt je product niet goed beveiligd”) in plaats van bij de crimineel.
En nu is de discussie of je als leverancier van een administratieve oplossing ook een beveiligingsverplichting hebt. Dan denk ik: slaan we in de ICT niet een beetje door, inmiddels? Welke idioot koopt een dergelijke dienst zonder zich te vergewissen van de veiligheid ervan? Wat zegt dat over de ICT bij de klant? Waarom zegt niemand dat ze bij genoemde afnemers beter uit hun doppen hadden moeten kijken?
Waarom kun je niet meer stellen dat met de ICT is niets mis is zolang gegevens niet spontaan verdwijnen, ontoegankelijk worden of anderszins corrupt raken?
Dit is niet alleen een technisch, maar ook een moreel issue. Dat is allang niet meer op te lossen met ICT alleen. Laten we dat niet uit het oog verliezen.
“hk” ziet blijkbaar het verschil niet tussen een “hacker” en een “cracker”.
De laatste breekt in systemen in om er persoonlijk beter van te worden (ja dat is crimineel), terwijl de “hacker” onkundige softwareproducenten alleen maar wil beschermen tegen fouten waardoor in de toekomst vertouwelijke gegevens niet meer zo gemakkelijk op straat kunnen komen te liggen.
De politie bellen i.p.v. de discussie aangaan levert dan geen bijdarge aan de oplossing van het probleem.
Het verbaast me niets, ik heb meer dan 1,5 jaar geleden een opdracht aan VCD gegeven om met het Scan Sys systeem te gaan digitaliseren. Maar de software betaald en beide bedrijven laten je gewoon zitten.
Kortom geen zaken met deze bedrijven doen, veel dure woorden maar absoluut geen daden.
De reactie van directie herken ik wel.