De medische dossiers van miljoenen mensen hebben risico gelopen door ernstige beveiligingslekken in een populair patiëntensysteem. De bijna 30 kwetsbaarheden die onderzoekers van Project Insecurity ontdekten bevonden zich in OpenEMR, één van de meest gebruikte opensource-patiëntensystemen.
De ontwikkelaars van OpenEMR stellen dat via hun software de medische dossiers van zo'n 200 miljoen patiënten wereldwijd worden beheerd en meer dan 100.000 zorgverleners er gebruik van maken. Het systeem bleek echter allerlei kwetsbaarheden te bevatten, zoals SQL injection, remote code execution, cross-site request forgery, informatielekken, het uploaden van willekeurige soorten bestanden en een "authentication bypass", waardoor het voor onbevoegden onder andere mogelijk was om de dossiers van patiënten in te zien.
De beveiligingslekken werden gevonden door de broncode handmatig door te lichten en het gebruik van Burp Suite, een populaire tool voor het vinden van kwetsbaarheden in webapplicaties. Er werden geen geautomatiseerde scanners gebruikt. Op 7 juli werden de problemen aan de ontwikkelaars gemeld, die vervolgens op 15 juli met een update kwamen. De onderzoekers hadden met OpenEMR afgesproken dat ze een maand zouden wachten met het publiceren van hun rapport (pdf). In onderstaande video demonstreren de onderzoekers een aanval tegen OpenEMR.
Deze posting is gelocked. Reageren is niet meer mogelijk.