Softwareleverancier lekt gevoelige medische informatie duizenden kinderen
Een softwareleverancier in de Verenigde Staten heeft de gevoelige medische informatie van duizenden kinderen via een onbeveiligde database gelekt. Het bedrijf levert een webapplicatie waarmee scholen en ouders de diagnose en behandeling van kinderen met ADHD, autisme, leerproblemen en andere stoornissen kunnen bijhouden. Hiervoor moeten ouders onder andere via de applicatie allerlei vragen over hun kind invullen.
De ingevoerde data was echter voor iedereen op internet toegankelijk. Volgens onderzoeker Jeremiah Fowler zorgde een verkeerd geconfigureerd ip-adres ervoor dat het host-domein, inlogportaal en locatie van de database te achterhalen was. Deze database was zonder wachtwoord toegankelijk en bevatte meer dan 16.000 records. Elk record bevatte persoonlijke identificeerbare informatie van kinderen.
Het ging onder andere om naam, geboortedatum, adresgegevens, naam van de school, telefoonnummer ouders en uitgebreide beschrijving van fysieke of mentale gezondheidsproblemen. Deze informatie bestond onder andere uit medische diagnoses, voorgeschreven medicijnen, leerproblemen, geweld, misbruik en andere problemen, aldus Fowler. De onderzoeker waarschuwde de softwareleverancier waarna de database werd beveiligd.
Zeer ernstig dit.
Dat een 'software leverancier' zulke basale beveiligingen niet op orde had.
Meteen al een reden om daar niet mee in zee te gaan.
Je vraagt je af met wat voor perspectief dan soort amateurtjes (beheerders/ontwikkelaars) rondlopen.
Zij hebben geen kinderen?
Voortaan ontwikkelaars/beheerders voor straf de gegevens van hun eigen familie laten gebruiken bij het ontwikkelen en uitrollen van zulke applicaties. Misschien dat ze er dan wel aan denken :-)
Dit staat er op de homepage:
"The Tridas Center closed its doors on December 31, 2019"
Zeer ernstig dit.
Dat een 'software leverancier' zulke basale beveiligingen niet op orde had.
Meteen al een reden om daar niet mee in zee te gaan.
Je vraagt je af met wat voor perspectief dan soort amateurtjes (beheerders/ontwikkelaars) rondlopen.
Zij hebben geen kinderen?
Voortaan ontwikkelaars/beheerders voor straf de gegevens van hun eigen familie laten gebruiken bij het ontwikkelen en uitrollen van zulke applicaties. Misschien dat ze er dan wel aan denken :-)
Het zijn vaak slimme zakenboys die een 'conceptje' bedenken en daarmee snel geld te verdienen, dingen als softwareontwikkeling of security hebben ze uiteraard geen enkel verstand van en wordt zo goedkoop mogelijk ingekocht.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
