image

Medische dossiers kwetsbaar door lek in populair patiëntensysteem

donderdag 9 augustus 2018, 13:30 door Redactie, 9 reacties

De medische dossiers van miljoenen mensen hebben risico gelopen door ernstige beveiligingslekken in een populair patiëntensysteem. De bijna 30 kwetsbaarheden die onderzoekers van Project Insecurity ontdekten bevonden zich in OpenEMR, één van de meest gebruikte opensource-patiëntensystemen.

De ontwikkelaars van OpenEMR stellen dat via hun software de medische dossiers van zo'n 200 miljoen patiënten wereldwijd worden beheerd en meer dan 100.000 zorgverleners er gebruik van maken. Het systeem bleek echter allerlei kwetsbaarheden te bevatten, zoals SQL injection, remote code execution, cross-site request forgery, informatielekken, het uploaden van willekeurige soorten bestanden en een "authentication bypass", waardoor het voor onbevoegden onder andere mogelijk was om de dossiers van patiënten in te zien.

De beveiligingslekken werden gevonden door de broncode handmatig door te lichten en het gebruik van Burp Suite, een populaire tool voor het vinden van kwetsbaarheden in webapplicaties. Er werden geen geautomatiseerde scanners gebruikt. Op 7 juli werden de problemen aan de ontwikkelaars gemeld, die vervolgens op 15 juli met een update kwamen. De onderzoekers hadden met OpenEMR afgesproken dat ze een maand zouden wachten met het publiceren van hun rapport (pdf). In onderstaande video demonstreren de onderzoekers een aanval tegen OpenEMR.

Image

Reacties (9)
09-08-2018, 19:01 door karma4
De Nederlandse markt bij ziekhuizen is vrijwel verdeeld over twee leveranciers (een Nederlandse en een Amerikaanse).
Bij medische dossiers dacht ik aan de ziekenhuizen maar dat klopt niet.
Iemand enig idee over welke markt dat openepd dan wel gaat?
11-08-2018, 11:59 door Anoniem
Door karma4: De Nederlandse markt bij ziekhuizen is vrijwel verdeeld over twee leveranciers (een Nederlandse en een Amerikaanse).
Bij medische dossiers dacht ik aan de ziekenhuizen maar dat klopt niet.
Iemand enig idee over welke markt dat openepd dan wel gaat?
https://www.openehr.org/who_is_using_openehr/
Onder "deployed solutions" vind je in Nederland onder andere Eurotransplant en het Rode Kruis Ziekenhuis (waar het Brandwondencentrum onderdeel van is) en een paar GGZ-instellingen.
11-08-2018, 15:41 door Anoniem
Door Anoniem: https://www.openehr.org/who_is_using_openehr/
Onder "deployed solutions" vind je in Nederland onder andere Eurotransplant en het Rode Kruis Ziekenhuis (waar het Brandwondencentrum onderdeel van is) en een paar GGZ-instellingen.
Correctie, dat is iets anders, mijn fout. Dit geeft een indruk:
https://www.open-emr.org/wiki/index.php/OpenEMR_Success_Stories
11-08-2018, 20:10 door karma4 - Bijgewerkt: 11-08-2018, 20:26
Door Anoniem: Correctie, dat is iets anders, mijn fout. Dit geeft een indruk:
https://www.open-emr.org/wiki/index.php/OpenEMR_Success_Stories
dank je. Met het rode kruis ziekenhuis is na te gaan wat ze met ICT doen wat er over los laten.
https://www.zorgvisie.nl/rkz-en-siemens-healthineers-onderzoeken-bouw-innovatief-ziekenhuis/
https://www.pinkroccade-healthcare.nl/case/zelfsturende-teams-leiden-gebruiker-hix-op-pinkroccade-begeleidt/ hix is chipsoft. https://www.computable.nl/artikel/nieuws/overheid/5193709/250449/ziekenhuizen-trekken-stekker-uit-ssc-care4ict.html
https://www.xcess.nl/Nieuws/ID/517/Rode-Kruis-Ziekenhuis-zet-Profit-AD-koppeling-van-XCESS-in Afas is geen helat specfiek bedrijf.
De gebruikers (ict perspectief) zijn de medisch specialstenhttps://www.demedischspecialist.nl/sites/default/files/attached-documents/DMS%202017_4_Administratiedruk_Lijstjes%20invullen%20is%20niet%20onze%20roeping.pdf

Dit is het lijstje gemaakt door markt kenner https://mxi.nl/uploads/files/publication/epd-overzicht2018(1).pdf
https://mxi.nl/kennis/298/het-complete-epd-overzicht-welk-ziekenhuis-heeft-welke-leverancier (10 aprk2018)

He csc care solutions zijn (2 ziekenhuizen) https://www.oogziekenhuis.nl/nieuws/csc-en-het-oogziekenhuis-rotterdam-tekenen-zisepd-contract-.html wel extern beheerd ni met eigen ICT mensen. CSC is niet meer het is nuhttps://www.dxc.technology/about_us/ds/29505-company_overview

Het is niet dat het er niet gebruikt hoeft te worden, er is gewoon een hele opeenstapeling van leveranciers en producten (cots). https://www.zorgvisie.nl/blog/gegijzeld-door-het-epd/
12-08-2018, 08:55 door Krakatau - Bijgewerkt: 12-08-2018, 08:56
Gatver! OpenEMR - een patiëntensysteem in nota bene PHP. Daar kan ik me nou zo kwaad over maken!
12-08-2018, 15:01 door karma4
Door Krakatau: Gatver! OpenEMR - een patiëntensysteem in nota bene PHP. Daar kan ik me nou zo kwaad over maken!
Ik over de geringe diepgang van de linux-setup wat betreft informatieveiligheid en functiescheiding (nen5710) zitten we niet eens met Nen7512 vragen. https://www.open-emr.org/wiki/index.php/OpenEMR_5.0.1_Linux_Installation
Php lijkt me in dat kader nog het minste om je druk over te maken.
13-08-2018, 09:19 door Krakatau - Bijgewerkt: 13-08-2018, 09:21
Door karma4:
Door Krakatau: Gatver! OpenEMR - een patiëntensysteem in nota bene PHP. Daar kan ik me nou zo kwaad over maken!
Ik over de geringe diepgang van de linux-setup wat betreft informatieveiligheid en functiescheiding (nen5710) zitten we niet eens met Nen7512 vragen. https://www.open-emr.org/wiki/index.php/OpenEMR_5.0.1_Linux_Installation
Php lijkt me in dat kader nog het minste om je druk over te maken.

Ach so... Leg dan eens uit hoe de Windows installatie van OpenEMR dat anders dan wel beter doet?

https://www.open-emr.org/wiki/index.php/OpenEMR_5.0.1_Windows_Installation

Ik houd het bij PHP. En ik hoef jou toch niet te gaan vertellen hoeveel onveiliger PHP onder Windows is in vergelijking met Linux? Breek me daar de bek niet over open! Je stapelt dan twee stuks baggerware op elkaar!
18-08-2018, 10:34 door karma4
Door Krakatau: ... met Linux? Breek me daar de bek niet over open! Je stapelt dan twee stuks baggerware op elkaar!
Gewoon eens je best doen op security?https://openlab-mu-internal.web.cern.ch/openlab-mu-internal/07_Student-Programme/2010/Student-programme_lectures_2010/Lopienski-2010.07-students-2-secure-web-applications.pdf
Http stateless en je hebt een boel ellende. In de coax tijd met fysieke binding ondenkbaar. Je moet wel met de tijd meegaan.
21-08-2018, 17:43 door Krakatau
Door karma4:
Door Krakatau: Ik houd het bij PHP. En ik hoef jou toch niet te gaan vertellen hoeveel onveiliger PHP onder Windows is in vergelijking met Linux? Breek me daar de bek niet over open! Je stapelt dan twee stuks baggerware op elkaar!
Gewoon eens je best doen op security?https://openlab-mu-internal.web.cern.ch/openlab-mu-internal/07_Student-Programme/2010/Student-programme_lectures_2010/Lopienski-2010.07-students-2-secure-web-applications.pdf
Http stateless en je hebt een boel ellende. In de coax tijd met fysieke binding ondenkbaar. Je moet wel met de tijd meegaan.

Leg eens uit wat je met dit warrige verhaaltje bedoelt?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.