Nieuws

AMC lekt patiëntgegevens via online afsprakensysteem

woensdag 1 maart 2017, 10:08 door Redactie, 11 reacties

Het Academisch Medisch Centrum in Amsterdam heeft via een online afsprakensysteem van bijna 2400 patiënten de gegevens gelekt. Beveiligingsonderzoeker Nelson Berg ontdekte dat het systeem kwetsbaar was voor SQL-injection, waardoor ingevulde afsprakenformulieren waren in te zien.

De formulieren bevatten naam, geboortedatum, geslacht, e-mailadres, telefoonnummer, adresgegevens, social security nummer, verzekeringsnummer, naam van tandarts en huisarts, omschrijving van de klacht en AMC-nummer van 2385 patiënten die een afspraak met de polikliniek Mondziekten, Kaak- en Aangezichtschirurgie hadden gemaakt. Berg waarschuwde het AMC op 24 februari, waarna het probleem snel werd verholpen. Gisteren werden alle getroffen patiënten ingelicht.

Het AMC laat weten dat de betreffende pagina een zogeheten externe pagina is. "Dat houdt in dat het geen onderdeel is van de AMC-website maar wel direct gelinkt is via onze website", aldus een verklaring van het Centrum. Inmiddels zou van alle externe webpagina’s de veiligheid zijn getest en zijn er geen verdere kwetsbare pagina's aangetroffen.

Hoge Raad start met verplicht digitaal procederen

Onderzoekers kraken encryptie Mac-ransomware

Reacties (11)

01-03-2017, 10:17 door Anoniem

Wat Nelson Berg over de manier van reageren van AMC schrijft is ook het vermelden waard:

The AMC has dealt with the problem very efficiently, were very kind, and have done absolutely everything in their power to make this right. This is by far the best way I have seen a company/institution deal with a problem so far. They could not have reacted more professionally/effectively.

01-03-2017, 10:27 door buttonius

Het "argument" dat het een "zogeheten externe pagina" was vind ik nogal zwak.
Elke pagina waar online afspraken voor medische behandelingen kunt maken of inzien moet goed beveiligd zijn. Als je zoiets voor een afdeling extern plaatst krijg je er een kwetsbaarheid bij en moet je juist extra alert zijn.

01-03-2017, 10:46 door Anoniem

Door buttonius: Het "argument" dat het een "zogeheten externe pagina" was vind ik nogal zwak.
Elke pagina waar online afspraken voor medische behandelingen kunt maken of inzien moet goed beveiligd zijn. Als je zoiets voor een afdeling extern plaatst krijg je er een kwetsbaarheid bij en moet je juist extra alert zijn.

Helemaal mee eens. De verdediging is een zwaktebod daar het qua verantwoordelijkheid nog steeds oder AMC valt.

Dat zegt ook iets over de manier waarop ze met gegevens omgaan en niet volledig hun verantwoordelijkheid nemen.

01-03-2017, 10:47 door Anoniem

Het AMC laat weten dat de betreffende pagina een zogeheten externe pagina is.

Okay, NIET ALLEEN hebben ze de gegevens gelekt MAAR OOK hebben ze dat een derde partij laten doen.

Dus er is twee keer gelekt, en allebei komen voor rekening van het AMC, maar ze zeggen dus zelf dat twee keer fout samen een keer goed is. Dit is geen handige spin, kinders.

01-03-2017, 11:42 door Anoniem

Ofwel: het AMC was zich niet voldoende bewust van gegevens onder haar beheer. Maar zijn wel verantwoordelijk. In audit termen: ze waren niet in control.

Dit wordt met de komst van de General Data Protection Regulation (GDPR) of de Algemene Verordening Gegevensbescherming (AVG) alleen maar duidelijker: vanaf 25 mei 2018 moeten bedrijven aan kunnen tonen dat ze in control zijn, en dat niet alleen zijzelf maar ook al de onderaannemers/leveranciers die voor/namens hen gegevens bewerken die gegevens afdoende beschermd hebben.

De boetes kunnen oplopen tot 4% van de jaaromzet van het hele bedrijf (dus inclusief moeder bedrijf!).

Veel bedrijven denken nog dat ze daar pas volgend jaar wat aan hoeven doen, maar als je per 25 mei van al je leveranciers bewijs beschikbaar moet hebben dat ze voldoen, had je al lang moeten beginnen, want veel partijen hebben hun zaken nog niet aantoonbaar op orde...

Q

01-03-2017, 11:58 door Anoniem

Door Anoniem: Wat Nelson Berg over de manier van reageren van AMC schrijft is ook het vermelden waard:

Wellicht dat in deze het AMC iets te verwijten valt, voorop staat de professionele en deskundige manier waarop ze met deze 'fout' zijn omgegaan. Dat is waar het uiteindelijk om draait. Fouten maken we allemaal, het gaat om de manier waarop je het vervolgens oplost. Daar kunnen andere organisaties een voorbeeld aan nemen. Voor de volledigheid; ik ben niet verbonden aan het AMC.

01-03-2017, 12:51 door Anoniem

Klopt natuurlijk, maar (grote) instellingen krijgen steeds meer te maken met "Shadow IT" waar diensten buiten de deur afgenomen worden, zonder dat de eigen IT daarvan op de hoogte is. Dan wordt het ook erg lastig om de beveiliging op orde te houden, want het verkeer van van de bezoekers loopt ook volledig buiten de eigen omgeving om.
Dus goede afspraken maken, bv. in de vorm van beleid, sturen op awareness bij de gebruiker (waarom is het belangrijk), enz. enz.

01-03-2017, 12:53 door Rob Koch - Koch Consultancy

[Verwijderd door moderator]

01-03-2017, 16:17 door Anoniem

Sinds wanneer hebben we in nederland een 'social security nummer'? Zijn we weer van het BSN afgestapt? ;-)

02-03-2017, 14:43 door Anoniem

De boetes kunnen oplopen tot 4% van de jaaromzet van het hele bedrijf (dus inclusief moeder bedrijf!).
Dat stuk van inclusief moederbedrijf dat is niet zeker, de EU beraadt zich op een standpunt hierin.
Daarnaast is de 4% (of 20 miljoen) alleen van toepassing bij herhaling...voor de eerste keer is een max. van 10 miljoen of 2% van de omzet.

02-03-2017, 16:18 door Anoniem

Doe eens gek en doe een pentest !

Helaas schiet het in Nederland niet op om rechtszaken aan te spannen en er miljoenen voor te eisen.
Mocht dit succesvol zijn dan wordt er misschien gehoor gegeven om eens te starten met een fatsoenlijke penetratietest.
kost misschien 5.000/10.000 Euro maar kan zo veel gezeur schelen...

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer