image

Inloggegevens 15.000 Nederlandse huisartsen gelekt via IDOR-kwetsbaarheid

maandag 19 december 2022, 14:56 door Redactie, 11 reacties
Laatst bijgewerkt: 19-12-2022, 15:25

Door middel van een IDOR-kwetsbaarheid was het mogelijk om de inloggegevens van 15.000 Nederlandse huisartsen in handen te krijgen, zo ontdekte huisarts en beveiligingsonderzoeker Jonathan Bouman. Het beveiligingslek in HaWeb SSO was drie, en mogelijk vijf, jaar lang in de code aanwezig. HaWebSSO is een single-sign-ondienst waarmee huisartsen toegang tot verschillende applicaties van het Nederlandse Huisartsen Genootschap (NHG) en de Landelijke Huisartsen Vereniging (LHV) kunnen krijgen.

SSO (single-sign-on) is een authenticatiemethode waarbij gebruikers door middel van één set inloggegevens toegang tot meerdere diensten of applicaties kunnen krijgen. Dit heeft als grote voordeel dat gebruikers geen verschillende inloggegevens hoeven te onthouden of beheren. Het nadeel is dat als een aanvaller deze ene set inloggegevens in handen krijgt, hij ook toegang tot alle toepassingen heeft.

Bouman ontdekte een onbeveiligde API endpoint van HAwebSSO.nl waar hij gegevens van willekeurige gebruikers kon opvragen, ook zonder enige authenticatie. Het endpoint bleek niet goed te controleren dat wie om de gegevens vroeg ook degene is van wie de gegevens zijn. Zo was het mogelijk om e-mailadres, volledige naam, wachtwoordhash en lidmaatschapsgegevens van meer dan vijftienduizend huisartsen op te vragen.

Dit wordt ook wel een IDOR-kwetsbaarheid genoemd. IDOR staat voor Insecure direct object references. Dit soort beveiligingslekken doet zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor. Bouman informeerde de LHV waarna het probleem binnen 48 uur werd verholpen. Op basis van loggegevens stelt de LHV dat er geen aanwijzingen van misbruik in de laatste twee jaar zijn gevonden.

De LHV en het NHG laten tegenover Medisch Contact weten dat alle huisartsen via de HAweb-omgeving over het datalek zijn ingelicht en zijn gevraagd om hun wachtwoord te wijzigen. Daarnaast is het datalek gemeld bij de Autoriteit Persoonsgegevens.

Image

Reacties (11)
19-12-2022, 15:06 door Anoniem
Moet je dan huisarts zijn om deze kwetsbaarheid uit te buiten of was er een andere manier om aan een account te komen?
19-12-2022, 15:18 door Anoniem
Ik zou het traject niet encrypten, maakt het veelte ingewikkeld, aldus onze huidige politieke verwoordelijke...
19-12-2022, 15:41 door Anoniem
Door Anoniem: Moet je dan huisarts zijn om deze kwetsbaarheid uit te buiten of was er een andere manier om aan een account te komen?

We now showed that a specific endpoint leaks the user details, however does it require authentication. Could one hit this endpoint while not being logged in? Open the same endpoint in incognito mode of the browser. No cookies are set, I’m not logged in. All user details are returned. The answer is yes. This endpoint does not require any login.
19-12-2022, 15:43 door Anoniem
Door Anoniem: Moet je dan huisarts zijn om deze kwetsbaarheid uit te buiten of was er een andere manier om aan een account te komen?

Je moet een HAweb account hebben, is allemaal te lezen als je maar even doorklikt.
19-12-2022, 15:48 door Anoniem
Door Anoniem: Ik zou het traject niet encrypten, maakt het veelte ingewikkeld, aldus onze huidige politieke verwoordelijke...

Ga jij maar de politiek in, en niet de techniek .
Dan pas je goed bij al die fractie "specialisten" die denken dat "encryptie" een oplossing is voor alle beveiligingsproblemen.

De vorige generatie riep altijd "moet achter de firewall" als universele diagnose/oplossing voor ieder beveilingsprobleem.
Deze roept "meer encryptie" .
19-12-2022, 16:15 door Anoniem
Door Anoniem:
Door Anoniem: Ik zou het traject niet encrypten, maakt het veelte ingewikkeld, aldus onze huidige politieke verwoordelijke...

Ga jij maar de politiek in, en niet de techniek .
Dan pas je goed bij al die fractie "specialisten" die denken dat "encryptie" een oplossing is voor alle beveiligingsproblemen.

De vorige generatie riep altijd "moet achter de firewall" als universele diagnose/oplossing voor ieder beveilingsprobleem.
Deze roept "meer encryptie" .

Wellicht is de Smart Block Cloud™ een oplossing?
19-12-2022, 18:03 door Anoniem
Een auto die onveilig is wordt de weg afgehaald en indien structureel onveilig uit de circulatie/handel genomen. Zo zou voortaan ook met uiterst precaire gegevens systemen omgegaan moeten worden.
19-12-2022, 22:54 door Anoniem
Door Anoniem: Een auto die onveilig is wordt de weg afgehaald en indien structureel onveilig uit de circulatie/handel genomen. Zo zou voortaan ook met uiterst precaire gegevens systemen omgegaan moeten worden.
Dat gebeurt toch ook? Het probleem is gemeld en het is opgelost.

Dat gebeurt met auto's ook trouwens. Ik zag laatst ergens een filmpje waarin verteld werd dat in Amerika als er een onveiligheid in een auto zat men probeerde met alle mogelijke middelen de eigenaar te bewegen die auto naar een dealer te krijgen om dit gratis op te lossen. Het was voorgekomen dat er meer dan 100 brieven, telefoontjes en e-mails aan besteed waren om een eigenaar naar de dealer te krijgen, zonder succes, en ze zich vervolgens doodreden (door dat probleem).
Dus dat "van de weg afhalen" valt nogal tegen, er zijn altijd mensen die gewoon "niks willen" en "niks willen horen", die kom je hier op het forum ook veel tegen...
20-12-2022, 06:17 door Anoniem
Ik kan me herinneren dat ik ooit gratis nederlandse tandartsen gemaild heb met de melding dat hun aanmeldformulieren via http verliepen

Dit tegen de privacywet in, en ze kunnen een boete krijgen,.

Die hadden dr schijt aan.

Net zoals de grootste verzekeringsfirma van nederland die zonder backups of antivirus draaide.
20-12-2022, 07:35 door gradje71
Door Anoniem:
Door Anoniem:
Door Anoniem: Ik zou het traject niet encrypten, maakt het veelte ingewikkeld, aldus onze huidige politieke verwoordelijke...

Ga jij maar de politiek in, en niet de techniek .
Dan pas je goed bij al die fractie "specialisten" die denken dat "encryptie" een oplossing is voor alle beveiligingsproblemen.

De vorige generatie riep altijd "moet achter de firewall" als universele diagnose/oplossing voor ieder beveilingsprobleem.
Deze roept "meer encryptie" .

Wellicht is de Smart Block Cloud™ een oplossing?

Leuk gedacht, maar de beste opslag dat is lokale opslag op papier. Moet je dan maar een keer alle data proberen te hacken. Dat lukt je gewoon niet
20-12-2022, 09:29 door Anoniem
Door gradje71:
Door Anoniem:
Door Anoniem:
Door Anoniem: Ik zou het traject niet encrypten, maakt het veelte ingewikkeld, aldus onze huidige politieke verwoordelijke...

Ga jij maar de politiek in, en niet de techniek .
Dan pas je goed bij al die fractie "specialisten" die denken dat "encryptie" een oplossing is voor alle beveiligingsproblemen.

De vorige generatie riep altijd "moet achter de firewall" als universele diagnose/oplossing voor ieder beveilingsprobleem.
Deze roept "meer encryptie" .

Wellicht is de Smart Block Cloud™ een oplossing?

Leuk gedacht, maar de beste opslag dat is lokale opslag op papier. Moet je dan maar een keer alle data proberen te hacken. Dat lukt je gewoon niet

Zoiets noemen ze "inbreken" en gebeurt gemiddeld meer dan 100 keer per dag. Het klopt dat mensen in Nieuw-Zeeland dat niet makkelijk doen bij een huisartsenpost in Nederland, maar ook papier kent nadelen, waar diefstal er slechts 1 van is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.