Inloggegevens 15.000 Nederlandse huisartsen gelekt via IDOR-kwetsbaarheid
Door middel van een IDOR-kwetsbaarheid was het mogelijk om de inloggegevens van 15.000 Nederlandse huisartsen in handen te krijgen, zo ontdekte huisarts en beveiligingsonderzoeker Jonathan Bouman. Het beveiligingslek in HaWeb SSO was drie, en mogelijk vijf, jaar lang in de code aanwezig. HaWebSSO is een single-sign-ondienst waarmee huisartsen toegang tot verschillende applicaties van het Nederlandse Huisartsen Genootschap (NHG) en de Landelijke Huisartsen Vereniging (LHV) kunnen krijgen.
SSO (single-sign-on) is een authenticatiemethode waarbij gebruikers door middel van één set inloggegevens toegang tot meerdere diensten of applicaties kunnen krijgen. Dit heeft als grote voordeel dat gebruikers geen verschillende inloggegevens hoeven te onthouden of beheren. Het nadeel is dat als een aanvaller deze ene set inloggegevens in handen krijgt, hij ook toegang tot alle toepassingen heeft.
Bouman ontdekte een onbeveiligde API endpoint van HAwebSSO.nl waar hij gegevens van willekeurige gebruikers kon opvragen, ook zonder enige authenticatie. Het endpoint bleek niet goed te controleren dat wie om de gegevens vroeg ook degene is van wie de gegevens zijn. Zo was het mogelijk om e-mailadres, volledige naam, wachtwoordhash en lidmaatschapsgegevens van meer dan vijftienduizend huisartsen op te vragen.
Dit wordt ook wel een IDOR-kwetsbaarheid genoemd. IDOR staat voor Insecure direct object references. Dit soort beveiligingslekken doet zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor. Bouman informeerde de LHV waarna het probleem binnen 48 uur werd verholpen. Op basis van loggegevens stelt de LHV dat er geen aanwijzingen van misbruik in de laatste twee jaar zijn gevonden.
De LHV en het NHG laten tegenover Medisch Contact weten dat alle huisartsen via de HAweb-omgeving over het datalek zijn ingelicht en zijn gevraagd om hun wachtwoord te wijzigen. Daarnaast is het datalek gemeld bij de Autoriteit Persoonsgegevens.
We now showed that a specific endpoint leaks the user details, however does it require authentication. Could one hit this endpoint while not being logged in? Open the same endpoint in incognito mode of the browser. No cookies are set, I’m not logged in. All user details are returned. The answer is yes. This endpoint does not require any login.
Je moet een HAweb account hebben, is allemaal te lezen als je maar even doorklikt.
Ga jij maar de politiek in, en niet de techniek .
Dan pas je goed bij al die fractie "specialisten" die denken dat "encryptie" een oplossing is voor alle beveiligingsproblemen.
De vorige generatie riep altijd "moet achter de firewall" als universele diagnose/oplossing voor ieder beveilingsprobleem.
Deze roept "meer encryptie" .
Ga jij maar de politiek in, en niet de techniek .
Dan pas je goed bij al die fractie "specialisten" die denken dat "encryptie" een oplossing is voor alle beveiligingsproblemen.
De vorige generatie riep altijd "moet achter de firewall" als universele diagnose/oplossing voor ieder beveilingsprobleem.
Deze roept "meer encryptie" .
Wellicht is de Smart Block Cloud™ een oplossing?
Dat gebeurt met auto's ook trouwens. Ik zag laatst ergens een filmpje waarin verteld werd dat in Amerika als er een onveiligheid in een auto zat men probeerde met alle mogelijke middelen de eigenaar te bewegen die auto naar een dealer te krijgen om dit gratis op te lossen. Het was voorgekomen dat er meer dan 100 brieven, telefoontjes en e-mails aan besteed waren om een eigenaar naar de dealer te krijgen, zonder succes, en ze zich vervolgens doodreden (door dat probleem).
Dus dat "van de weg afhalen" valt nogal tegen, er zijn altijd mensen die gewoon "niks willen" en "niks willen horen", die kom je hier op het forum ook veel tegen...
Dit tegen de privacywet in, en ze kunnen een boete krijgen,.
Die hadden dr schijt aan.
Net zoals de grootste verzekeringsfirma van nederland die zonder backups of antivirus draaide.
Ga jij maar de politiek in, en niet de techniek .
Dan pas je goed bij al die fractie "specialisten" die denken dat "encryptie" een oplossing is voor alle beveiligingsproblemen.
De vorige generatie riep altijd "moet achter de firewall" als universele diagnose/oplossing voor ieder beveilingsprobleem.
Deze roept "meer encryptie" .
Wellicht is de Smart Block Cloud™ een oplossing?
Leuk gedacht, maar de beste opslag dat is lokale opslag op papier. Moet je dan maar een keer alle data proberen te hacken. Dat lukt je gewoon niet
Ga jij maar de politiek in, en niet de techniek .
Dan pas je goed bij al die fractie "specialisten" die denken dat "encryptie" een oplossing is voor alle beveiligingsproblemen.
De vorige generatie riep altijd "moet achter de firewall" als universele diagnose/oplossing voor ieder beveilingsprobleem.
Deze roept "meer encryptie" .
Wellicht is de Smart Block Cloud™ een oplossing?
Leuk gedacht, maar de beste opslag dat is lokale opslag op papier. Moet je dan maar een keer alle data proberen te hacken. Dat lukt je gewoon niet
Zoiets noemen ze "inbreken" en gebeurt gemiddeld meer dan 100 keer per dag. Het klopt dat mensen in Nieuw-Zeeland dat niet makkelijk doen bij een huisartsenpost in Nederland, maar ook papier kent nadelen, waar diefstal er slechts 1 van is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
