OM: verdachte aangehouden voor 'hacken' Groene Hart Ziekenhuis
Het Openbaar Ministerie meldt dat het een 26-jarige man uit Nieuwerkerk aan den IJssel heeft aangehouden. Hij zou betrokken zijn geweest bij een 'digitale inbraak' in computersystemen van het Groene Hart Ziekenhuis. Op de servers stonden gevoelige patiëntgegevens.
In oktober werd bekend dat een hacker toegang had tot patiëntgegevens van het Groene Hart Ziekenhuis uit Gouda. De data stond opgeslagen op een publiek toegankelijke server. Op het systeem zouden tientallen medische dossiers zijn te vinden. In de dossiers waren onder andere behandelplannen, recepten en diagnoses te vinden. Het zou gaan om gegevens van meer dan 493.000 personen.
Het OM meldt dat het team High Tech Crime van het KLPD een onderzoek is gestart na publicaties in de media over de zaak. Dinsdag heeft het Openbaar Ministerie bekendgemaakt dat het een 26-jarige man uit Nieuwerkerk aan den IJssel heeft gearresteerd. Hij zou betrokken zijn geweest bij de hack op de server van het Groene Hart Ziekenhuis. Volgens het Openbaar Ministerie heeft de hacker een 'grote hoeveelheid patiëntgegevens uit het systeem weggenomen'. Tegenover Nu.nl gaf de hacker destijds aan dat hij alle opgehaalde gegevens gewist zou hebben nadat het verhaal naar buiten was gekomen.
Reacties (58)
Wat ik me nou altijd afvraag:
Doen ze dit alleen voor de kick? Geld valt er namelijk (volgens mij) niet te halen..
Doen ze dit alleen voor de kick? Geld valt er namelijk (volgens mij) niet te halen..
Nou ja.. even wat recepten innen en vervolgens de medicijnen doorverkopen zou nog best kunnen als ik dat zo lees.
Met zoveel info kun je identiteitsdiefstal plegen: ofwel doen alsof je iemand anders bent.
Ook het volledige patiëntenbestand met de informatie van ruim 493.000 personen blijkt diverse malen op de computer te staan. Daarin staan naast patiëntennummer, naam, adres, geboortedatum, telefoonnummer en burgerservicenummer ook gegevens over de partner.
Stond de gehackte data op een publiek toegankelijke server? Of had het ziekenhuis de data op een publiek toegankelijke server staan? Als het laatste zo is dan is er toch niet echt iets "gehacked" en had iedereen die data eraf kunnen halen want het was tenslotte publiekelijk toegankelijk?
De data stond opgeslagen op een publiek toegankelijke server.
Een beetje surfen voor de kick doen we allemaal toch.
Een beetje surfen voor de kick doen we allemaal toch.
Het is al de tweede keer dat bekend is geworden dat gevoelig informatie benaderbaar was:
Ik neem aan dat het OM niet tot vervolging zal overgaan:Het is niet de eerste keer dat de informatiebeveiliging van het Groene Hart Ziekenhuis ter discussie staat. In 2011 tikte de Inspectie voor de Volksgezondheid het ziekenhuis nog in een brief op de vingers.Na een controle bleken ze een onvoldoende te scoren.
Samen met het National Cyber Security Center en beveiligingsbedrijf Fox IT wordt gewerkt aan een definitieve oplossing voor het probleem om dit in de toekomst te voorkomen. Er werd al gewerkt aan verbetering van de beveiliging. “We vinden het niet leuk dit te moeten horen, maar zijn de hacker dankbaar dat het gemeld is”, stelt de zegsvrouw.
Waarschijnlijk gaat het om een bron van Brenno de Winter, die onder naam van "het Nederlands Genootschap van Hackende Huisvrouwen" opereert. Je kan je, in mijn opinie, afvragen of dit niet gewoon een klokkenluider is, als de hacker de waarheid heeft gesproken althans.
@Tijger
Op een gegeven moment moet je toch bekijken of iets het melden waard is. Zo doet Tweakers dat ook wel eens, dan wordt er data gedownload om te kunnen verifiëren of het persoonsgebonden informatie is. Tweakers kan altijd onder de journalistieke vleugel opereren, maar misschien is dat in dit geval ook wel gewoon journalistiek te noemen, aangezien het direct in samenwerking met Nu.nl tot stand is gekomen en gemeld is aan het Groene Hart Ziekenhuis.
@Tijger
Op een gegeven moment moet je toch bekijken of iets het melden waard is. Zo doet Tweakers dat ook wel eens, dan wordt er data gedownload om te kunnen verifiëren of het persoonsgebonden informatie is. Tweakers kan altijd onder de journalistieke vleugel opereren, maar misschien is dat in dit geval ook wel gewoon journalistiek te noemen, aangezien het direct in samenwerking met Nu.nl tot stand is gekomen en gemeld is aan het Groene Hart Ziekenhuis.
[Reactie gewijzigd door SidewalkSuper op dinsdag 27 november 2012 14:33]
Het stond op een publiek toegankelijke server... dan is het toch geen inbraak?
Maar goed, hij heeft dus ook data 'weggenomen', des te erger en zeker strafbaar. Voorzover ik kan beoordelen is het meer diefstal dan inbraak.
Maar goed, hij heeft dus ook data 'weggenomen', des te erger en zeker strafbaar. Voorzover ik kan beoordelen is het meer diefstal dan inbraak.
Mijn webservers zijn ook publiek toegankelijk. Betekent niet dat iedereen op de shell zomaar in kan loggen.Stond de gehackte data op een publiek toegankelijke server? Of had het ziekenhuis de data op een publiek toegankelijke server staan? Als het laatste zo is dan is er toch niet echt iets "gehacked" en had iedereen die data eraf kunnen halen want het was tenslotte publiekelijk toegankelijk?
reactie op :Detmer8
wat dacht je van afpersing?
valt vaak toch goed geld mee te verdienen.
Bijvoorbeeld een rijkere zakenman die behandeld is voor een s.o.a. best vervelend als dat uitkomt en dus te chanteren met die gegevens.
Ook het ziekenhuis zou je om losgeld kunnen eisen voor de data.
Zo zijn er waarschijnlijk nog wel een paar verdien modellen te bedenken.
wat dacht je van afpersing?
valt vaak toch goed geld mee te verdienen.
Bijvoorbeeld een rijkere zakenman die behandeld is voor een s.o.a. best vervelend als dat uitkomt en dus te chanteren met die gegevens.
Ook het ziekenhuis zou je om losgeld kunnen eisen voor de data.
Zo zijn er waarschijnlijk nog wel een paar verdien modellen te bedenken.
[Reactie gewijzigd door Sysosmaster op dinsdag 27 november 2012 14:24]
Het gaat om een recente zaak waarbij de data NIET PUBLIEKELIJK toegankelijk waren.
De data stond namelijk op een computer, aangesloten op het netwerk, dat een slechte beveiliging had. Waardoor de hacker binnen is gekomen.
Volgens nu.nl (7 okt, 2012)
EDIT: typos
De data stond namelijk op een computer, aangesloten op het netwerk, dat een slechte beveiliging had. Waardoor de hacker binnen is gekomen.
Volgens nu.nl (7 okt, 2012)
En de definitie van hacken, cracken eigenlijk, is toegang toekennen tot iets waar je niet voor geautoriseerd bent. Dus publiekelijk of niet, het blijft gewoon cracken. Vooraal aangezien je als persoon gewoon weet dat de data niet voor jou bestemd is als je ineens de persoonsgegevens van 493k man ziet.De computer blijkt niet in het ziekenhuis te staan, maar in een datacenter van een provider dat vanaf internet toegankelijk is. Die toegang loopt via FTP, een technologie niet bestemd voor het
transporteren van gevoelige gegevens omdat de informatie onversleuteld over internet gaat.
Een ander probleem is dat het gebruikelijk is dat gevoelige gegevens na overbrengen van de server worden gehaald. Het blijkt echter dat de medische dossiers al sinds mei 2008 op de server stonden. Het wachtwoord van de beheerder, 'groen2000', is zeer voorspelbaar.
EDIT: typos
[Reactie gewijzigd door Bilel op dinsdag 27 november 2012 14:23]
Nee, hij leest wel goed (niet zo denigrerend aub, nergens voor nodig), het stond op een publiek toegankelijke server van het ziekenhuis. Dat die server publiek toegankelijk is betekent in dit geval gewoon dat het direct met internet verbonden was, niet dat er geen beveiliging op zat.
Tientallen medische dossiers en de gegevens van honderdduizenden patiënten van het Groene Hart Ziekenhuis in Gouda zijn jarenlang via internet toegankelijk geweest op een nauwelijks beveiligde computer.
De server bevat naast medische gegevens verder compleet installeerbare softwarepakketten van Microsoft, Adobe Flash en VMWare. Deze is duidelijk gericht op werkstations. Bonnie waarschuwt slechts vluchtig te hebben gekeken en niet uit te sluiten dat er nog meer informatie op de server staat.
http://www.nu.nl/binnenla...kt-medische-dossiers.htmlDe computer blijkt niet in het ziekenhuis te staan, maar in een datacenter van een provider dat vanaf internet toegankelijk is. Die toegang loopt via FTP, een technologie niet bestemd voor het
transporteren van gevoelige gegevens omdat de informatie onversleuteld over internet gaat.
Een ander probleem is dat het gebruikelijk is dat gevoelige gegevens na overbrengen van de server worden gehaald. Het blijkt echter dat de medische dossiers al sinds mei 2008 op de server stonden. Het wachtwoord van de beheerder, 'groen2000', is zeer voorspelbaar.
[Reactie gewijzigd door SidewalkSuper op dinsdag 27 november 2012 14:38]
Dat gaat alleen op als je de data niet download en het ziekenhuis inlicht, doe je dat wel dan ben je geen klokkenluider meer.
Beetje vreemd om te lezen dat het om tientallen dossiers gaat en vervolgens om bijna een half miljoen patienten. Mag toch aannemen dat die half miljoen patienten allemaal een eigen dossier hebben? Dan zou het toch ook om duizenden dossiers gaan?
gelet op de gebruikte terminologie, zijn het DBC gegevens, dus als het goed is, zijn de behandelplannen en diagnoses gecodeerd.
Daarnaast heeft het GHZ vermoedelijk een kleine anderhalf miljoen patienten in hun database.
Ik zou zeggen, succes met zoeken & interpreteren. Dan heb je dat losgeld wat mij betreft verdiend
Daarnaast heeft het GHZ vermoedelijk een kleine anderhalf miljoen patienten in hun database.
Ik zou zeggen, succes met zoeken & interpreteren. Dan heb je dat losgeld wat mij betreft verdiend
Tsja, zo bleek dat ik gewoon MMC kon opstarten om vervolgens een lokale user aan te maken, en via Shares die niet beveiligd waren overal bij kon. Een share niet mounten betekend niet dat je er niet bij kunt.
Dit hadden ze trouwens zo opgelost
Is wel al weer een 3 jaar geleden.
Dit hadden ze trouwens zo opgelost
Is wel al weer een 3 jaar geleden.
De data stond opgeslagen op een publiek toegankelijke server.
waarom wordt de hacker dan aangehouden en niet de beheerders? Zij zijn duidelijk in gebreken door gevoelige patiëntgegevens open en blood op straat te leggen. Dat vind ik een grotere ramp dan wat kareltje-klik doet. Want wie zegt dat kareltje de eerste is geweest die een kijkje heeft genomen?Het team High Tech Crime van het KLPD is in oktober een onderzoek gestart nadat berichten in de media verschenen waaruit bleek dat een computersysteem van het Groene Hart Ziekenhuis was gehackt
Zonde, had ie gewoon netjes gedaan (misschien 1 bestandje gedownload/toegevoegd) dan had ie waarschijnlijk al wat leuke banen aangeboden gekregen. misschien zelfs bij 'HTCU'
Als het klopt dat die bewuste server bereikbaar was met FTP, ipv iets wat veiliger/betrouwbaarder is zoals SSH of misschien zelfs een VPN, dan wil ik wel eens een hartig woordje wisselen met degene wiens idee dat was.
Zou me niks verbazen als het ziekenhuis een goedkope amateur om tips had gevraagd. Ik zou zelf (voor het spotgoedkope tarief van 0 cent) ze een waterdicht, op veiligheid gespitst advies gegeven hebben.
Zou me niks verbazen als het ziekenhuis een goedkope amateur om tips had gevraagd. Ik zou zelf (voor het spotgoedkope tarief van 0 cent) ze een waterdicht, op veiligheid gespitst advies gegeven hebben.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Asus Samsung Mobiele telefoons Laptops Apple Sony Games Microsoft Consoles Microsoft Xbox One
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
