Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 58 reacties, 12.202 views •

Het Openbaar Ministerie meldt dat het een 26-jarige man uit Nieuwerkerk aan den IJssel heeft aangehouden. Hij zou betrokken zijn geweest bij een 'digitale inbraak' in computersystemen van het Groene Hart Ziekenhuis. Op de servers stonden gevoelige patiŽntgegevens.

In oktober werd bekend dat een hacker toegang had tot patiëntgegevens van het Groene Hart Ziekenhuis uit Gouda. De data stond opgeslagen op een publiek toegankelijke server. Op het systeem zouden tientallen medische dossiers zijn te vinden. In de dossiers waren onder andere behandelplannen, recepten en diagnoses te vinden. Het zou gaan om gegevens van meer dan 493.000 personen.

Het OM meldt dat het team High Tech Crime van het KLPD een onderzoek is gestart na publicaties in de media over de zaak. Dinsdag heeft het Openbaar Ministerie bekendgemaakt dat het een 26-jarige man uit Nieuwerkerk aan den IJssel heeft gearresteerd. Hij zou betrokken zijn geweest bij de hack op de server van het Groene Hart Ziekenhuis. Volgens het Openbaar Ministerie heeft de hacker een 'grote hoeveelheid patiëntgegevens uit het systeem weggenomen'. Tegenover Nu.nl gaf de hacker destijds aan dat hij alle opgehaalde gegevens gewist zou hebben nadat het verhaal naar buiten was gekomen.

Reacties (58)

Wat ik me nou altijd afvraag:

Doen ze dit alleen voor de kick? Geld valt er namelijk (volgens mij) niet te halen..
Met zoveel info kun je identiteitsdiefstal plegen: ofwel doen alsof je iemand anders bent.
Ook het volledige patiŽntenbestand met de informatie van ruim 493.000 personen blijkt diverse malen op de computer te staan. Daarin staan naast patiŽntennummer, naam, adres, geboortedatum, telefoonnummer en burgerservicenummer ook gegevens over de partner.
De data stond opgeslagen op een publiek toegankelijke server.

Een beetje surfen voor de kick doen we allemaal toch. :Y)
De data stond opgeslagen op een publiek toegankelijke server.
Het team High Tech Crime van het KLPD is in oktober een onderzoek gestart nadat berichten in de media verschenen waaruit bleek dat een computersysteem van het Groene Hart Ziekenhuis was gehackt
waarom wordt de hacker dan aangehouden en niet de beheerders? Zij zijn duidelijk in gebreken door gevoelige patiŽntgegevens open en blood op straat te leggen. Dat vind ik een grotere ramp dan wat kareltje-klik doet. Want wie zegt dat kareltje de eerste is geweest die een kijkje heeft genomen?
[...]


[...]

waarom wordt de hacker dan aangehouden en niet de beheerders? Zij zijn duidelijk in gebreken door gevoelige patiŽntgegevens open en blood op straat te leggen.
Misschien hebben de beheerders het wel aangekaart, maar werd het risico geaccepteerd en is er geen ruimte gegeven om de situatie te verbeteren.

Vul in plaats van beheerders 'beslissers' in en je hebt deels een punt. Immers zijn zowel de hackers als de verantwoordelijken over de data in gebreke.
Van het artikel van nu.nl heb ik begrepen dat hij via FTP de server kon binnen komen door het root ww te bruteforcen. Het is niet zo dat de gegevens daadwerkelijk publiekelijk toegankelijk was. De hacker was dus doelbewust aan het inbreken op een systeem.

Maar de organisatie (niet eens perse de beheerders van de server) zou inderdaad wel aangepakt mogen worden in dit geval. Medische dossiers moeten gewoon goed en veilig opgeborgen worden.
De kluis van een gemiddelde bank wordt ook niet dichtgehouden door een paar stukjes kauwgom en een dun touwtje. Als die leeggeroofd wordt, is de organisatie ook gewoon aansprakelijk.

Het wordt eens tijd dat in de wet opgenomen moet worden hoe welke data beveiligd moet worden. Het zal niet makkelijk zijn om iets dergelijks goed te formuleren, maar dergelijke nalatigheid mag van mij best een strafbaar tintje krijgen.
Inderdaad. Dit soort gegevens mag gewoon niet op een server staan die staat aangesloten op het internet.
uhm ja, daarom wilde men ook landelijk het EPD invoeren.
Maar helaas is het EPD ook zo lek als een mandje, veel mensen hadden te veel toegang en was te gevoelig voor social engineering. Dit is een van de redenen dat het ook nooit volledig is ingevoerd.
De huidige niet centrale patientendossiers zijn daar net zo gevoelig voor. Maar i.t.t. het landelijk EPD waar wel dit soort zaken meegenomen worden (in de vorm van een audit trail) is er geen haan die er naar kraait.

Ik snap ook niet dat mensen denken dat zolang er geen EPD is er geen gevaar is dat je gegevens in de verkeerde handen komen, alsof ziekenhuizen en je huisarts nog gewoon met papieren dossiers werken. Dat is eeuwen geleden al gedigitaliseerd.

Een goed voorbeeld: mijn tandarts. Die heeft gewoon als PHP hobbyist zijn eigen patentiendossier webapp gemaakt. Wie vertrouw je meer met gevoelige gegevens? Een integrator die tenminste wat kaas heeft gegeten van beveiliging of je eigen arts die een beetje heeft zitten hobbyen?
Het wordt eens tijd dat in de wet opgenomen moet worden hoe welke data beveiligd moet worden. Het zal niet makkelijk zijn om iets dergelijks goed te formuleren, maar dergelijke nalatigheid mag van mij best een strafbaar tintje krijgen.
Er is al een wet die dit vereist: de wet bescherming persoonsgegevens.

Artikel 13 zegt:
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.


Het probleem is dat deze wet onder het bestuursrecht valt en er geen straffen kunnen worden opgelegd, alleen dwangsommen door het CBP.
Dwangsom wordt dan alleen uitgevoerd als de aanwijzing van het CBP niet wordt opgevolgd. Dus eigenlijk bedoeld om toekomstige overtredingen tegen te gaan, niet om een eerdere overtreding te bestraffen.

Maar er was sprake van dat er een wetswijziging zou komen, waardoor het CBP ook boetes kan opleggen.
Wel is het mogelijk om voor benadeelden een civielrechterlijke procedure op te starten, om een schadevergoeding te eisen. Maar dan moet er ook aangetoond kunnen worden dat er schade is.
Ja en wat is nu waarheid? Dit artikel spreekt die uitleg nogal tegen en het steekt me eerlijk gezegd een beetje dat er zo'n verschil tussen zit.
Daarnaast verwacht ik van tweakers.net eerder betrouwbare info aangaande cybersecurity dan van Nu.nl, maar dat kan natuurlijk aan mij liggen.

Ben het helemaal met je eens verder hoor, maar vind deze twee artikelen wel ver uit elkaar liggen; gegevens op een openbare server of het brute forcen van een ftp-pass. Daarnaast lijkt de uitleg van het OM wat vreemd, want met weggenomen gegevens impliceer je toch dat ze na de hack niet meer aanwezig waren.
Als dat inderdaad het geval is, dan zou dat wel terug te vinden moeten zijn in logs lijkt me. Het zou in ieder geval niet slim van de hacker geweest zijn..
Van het artikel van nu.nl heb ik begrepen dat hij via FTP de server kon binnen komen door het root ww te bruteforcen.
Dan zijn er toch een aantal vragen die me onmiddellijk boven komen:
- Waarom kun je op afstand inloggen met 'root' (was dit ook werkelijk zo?)
- Waarom staan de bestanden op een server die vanaf internet bereikbaar is?
- Waarom zijn de bestanden niet versleuteld? (Ik heb het nadrukkelijk over bestandsencryptie, niet over diskencryptie)
- Waarom lijkt het erop dat er geen password/lockout-policy was? Na 3 Š 5 foutieve inlogpogingen het account blokkeren is een minimale ingreep die brute forcen aanzienlijk bemoeilijkt...

Ik blijf het ronduit belachelijk vinden dat er anno 2012 nog steeds mensen op posities zitten waarbij zij een ernstig gevaar voor de privacy c.q. (digitale) beveiliging zijn!
Van mij daar ook een strafbaar tintje aan gegeven worden, zelfs een felle kleur. Maar een kluis die met een touwtje wordt dicht gemaakt is toch verzegeld waarbij het voor iedereen duidelijk is dat je er niet in mag.

M.a.w. de kracht of effectiviteit van de beveiliging of het slot is niet gerelateerd aan de vraag of er sprake is van inbraak of de strafbaarheid van de inbraak. Inbraak is het, zelfs als er maar een touwtje gebruikt wordt.

De waarde is dat je met je poten van andermans bezittingen blijft. De bijbehorende norm is de wet.
dit is nederland, in plaats van de beheerders aan te pakken of zelf als overheid het boetekleed aan te trekken word de klokkeluider vervolgd en het liefst alles zo snel mogelijk vergeten tot het volgende "incident".

toendertijd werd het epd ons opgedrongen en van alles beloofd en ondanks dat niemand er vertrouwen in had werd het door de strot gedrukt, een tijdke geleden komt er naar buiten dat het inderdaad zoals verwacht slecht opgeslagen was en makkelijk toegang tot de gegevens was en wat gebeurt er ?
degene die het aan het licht brengt word vervolgd en vervolgens gebeurt er niets.

hoeveel krijgen de slachtoffers ter compensatie van het ziekenhuis voor het slecht beveiligen van die gevoelige data ?
wat is er gebeurt met de systeembeheerders ? (of in ieder geval degene verantwoordelijk voor deze slechte beveiliging)
worden er nu ook bij andere ziekenhuizen gecontroleerd op beveiligingslekken of zijn die nog gewoon toegankelijk voor iedereen ?

hij heeft een probleem getoond en ik ben geen fan van het lekken/kopieren van prive informatie maar anders is het anders lastig te bewijzen dat je ook daadwerkelijk toegang had.
ik zou het wel netter vinden de data zo te censureren dat er alleen vergeleken kan worden en geen informatie uitgehaald kan worden (bijv. uit elke reeks het 1e teken. naam geb. datum. verzekeringnr. = mj12)
en natuurlijk altijd een wifi hotspot gebruiken voor je eigen privacy ;)
Wat gebeurt er doorgaans met zulke systeembeheerders?

De kans is groot dat ze hier op tweakers.net zitten. Ze houden zich wijselijk stil. Misschien zijn ze in staat de leiding van het ziekenhuis een rad voor ogen te draaien met wat ingewikkelde ICT terminologie.

'Ik bezweer u dat de hacker heel veel moeite heeft moeten doen om er in te komen, baas!'
[deleted]

[Reactie gewijzigd door hakken314 op 27 november 2012 14:45]

Sommigen doen het uit ideŽele overwegingen; om de beveiligingsproblemen aan de kaak te stellen. Dat zijn gelukkig de meeste, de zgn. White-hat hackers.

Sommige verkopen helaas de gegevens aan spammers en cybercriminelen of opzettelijk schade te berokkenen. (black-hat)

Een klein groepje doet het om te zieken, die zitten er ook tussen (grey-hat)
ik vind je grey hat omschrijving toch wat minder...
dit vind ik toch wat passender
grey-hat: legaal met soms een illegaal kantje (vaak de "hacktivisten")
zo zijn er grey hats, die websites neerhalen met malware of kinderporno.
machines proberen te infecteren om pedofielen op te sporen en aan te geven, internet oplichters te vinden of om problemen aan de kaak te stellen als bijvoolbeeld slecht beveiligde patienten dossiers...
Geld valt er zeker wel mee te verdienen. Voor verzekeraars kan deze informatie veel geld waard zijn...
Er is geen verzekeringsmaatschappij die deze gegevens zou gebruiken. Je moet dan gaan uitleggen om welke grond je mensen uitsluit en het zal al snel uitkomen. De bestuursleden zitten dan snel jaren in het gevang.

Als je echt denkt dat de verzekeraars in Nederland zo corrupt zijn heb je echter een groter probleem dan het uitzoeken van een verkering.
daar zit je fout. een verzekeraar hoeft juridisch niet te verantwoorden waar ze hun gegevens vandaan hebben...
Erger, ze hoeven niet per individu wat dan ook te doen. Uit die gegevens kunnen patronen gedestilleerd worden. Manieren van werken en denken van medisch personeel. De achtergrond achter de dbc's zeg maar. Daar kunnen ze al veel voordeel uit halen denk ik. Allerlei conclusies kunnen getrokken worden.
als hacker valt er wel degelijk geld te verdienen, veelal als "legale" hacker in dienst van een bedrijf om de beveiliging te testen zodat dit soort dingen niet voorkomen, stond gisteren of vandaag nog een artikel over in de metro/spits.
"hacker" deed het om de publicteit. zie b.v. http://webwereld.nl/nieuw...nden-pati-ntgegevens.html Het is niet zo dat het groene hart ondekte dat ze gehackt weren, nee een "hacker"maakte het bekend.

Die deed dat uiteraard voor de bekendheid, zonder werkelijk bekend te willen worden omdat klokkenluiders hier opgeknoopt worden.
Voor de kick kan ik je vertellen.
Althans dat wat het vroeger bij mij, wat waar en hoe ik het hackte didnt mather....
Nou ja, thuisverbindingen is sneu dus dat deden we niet.
Meestal alleen hosting bedrijven en lekker lannen daar, maar wat je bij een ziekenhuis zoekt ?


Vraag is alleen, was dit een specifieke hack naar het ziekenhuis, of zat daar een IT-er die zijn zaakjes niet op orde heeft en de hacker geluk heeft door op dat moment net even te koekeloeren.
Vind het bij een toeval hack namelijk al stukken minder erg, als een doelgerichte hack --> dan komen er nog meer aan namelijk
Nou ja.. even wat recepten innen en vervolgens de medicijnen doorverkopen zou nog best kunnen als ik dat zo lees.
Stond de gehackte data op een publiek toegankelijke server? Of had het ziekenhuis de data op een publiek toegankelijke server staan? Als het laatste zo is dan is er toch niet echt iets "gehacked" en had iedereen die data eraf kunnen halen want het was tenslotte publiekelijk toegankelijk?
Stond de gehackte data op een publiek toegankelijke server? Of had het ziekenhuis de data op een publiek toegankelijke server staan? Als het laatste zo is dan is er toch niet echt iets "gehacked" en had iedereen die data eraf kunnen halen want het was tenslotte publiekelijk toegankelijk?
Mijn webservers zijn ook publiek toegankelijk. Betekent niet dat iedereen op de shell zomaar in kan loggen.
Nee maar waar het heel erg op lijkt is dat de data simpel weg op een ftp of http server stond en alles dat nodig was was iemand die simpel weg even verder keek dan zijn neus lang is. Als dat hacken is dan vraag ik me af of het internet nog wel legaal gebruikt kan worden...

Immers alle data die ik op een web server kan vinden (indexing on natuurlijk) is simpel weg voor mij toegankelijk. Een robots.txt bestand kan dan wel zeggen dat een spider er niet bij mag mar dat zegt niets over mensen alleen over het opnemen van de resultaten in een search engine de reden dat de meeste spiders de data overslaan...
Als ik er gewoon bij kan zonder dat ik iets moet doen zo als een wachtwoord ontfutselen dan wel een beveiliging omzeilen dan is het toch geen hacken zelfs als de data waar ik bij kan eigenlijk niet voor mij bedoeld is. Als dat wel zo is dan kun je eigenlijk niets meer opzoeken op internet want tot je de data onder ogen krijgt kun je niet weten of de data al dan niet dor jouw gezien mag worden, zelfs als je de data ziet is dat nog steeds niet altijd duidelijk... als dat hacken is dan is het over met het vergaren van informatie via het internet want je kunt nooit meer iets op zoeken zonder het risico de wet te overtreden.

Als iemand op jouw shell kan inloggen dan is dat een ander verhaal, als daar het onderscheppen van communicatie voor nodig is om bijvoorbeeld de telnet wachtwoorden te onderscheppen dan is dat natuurlijk wel een vorm van hacken. Kun je nog als argument aanvoeren dat telnet nu ook weer niet echt veilig is maar goed dat is een ander verhaal.
Een hack is toch echt als onbevoegde toegang verschaffen tot een computer systeem, als de data gewoon beschikbaar is op de machine zonder dat er een wachtwoord of andere beveiliging is die je buiten sluit dan is het geen hacken dan is het gewoon heel erg dom om de data op deze manier beschikbaar te maken als dat niet de bedoeling is maar hacken is een totaal ander iets.
De dief keek even verder dan zijn neus lang was, sloeg het raam in en ging aan de haal met de autoradio, ga je nu ook beweren dat de eigenaar maar een gepantserde wagen moest kopen en in een beveiligde garage zetten, dan ging dit namelijk niet gebeurd zijn ...

Is geen persoonlijke aanval, echt niet, was gewoon even een bedenking na het lezen van een aantal reacties in die toon.

In het originele artikel staat trouwens ook dit: "Het wachtwoord van de beheerder, 'groen2000', is zeer voorspelbaar."
Er zat dus wel degelijk een paswoord op wat al genoeg is om duidelijk te maken dat het niet de bedoeling is dat iedereen hier toegang tot heeft. Feit blijft nog steeds dat hier sprake is van een ernstig probleem als je dit op een ftp zet (al dan niet met een simpel pw, ftp is gewoon lek en gebruik je niet voor zo'n info). Zeker omdat in 2011 reeds een onvoldoende gegeven was voor IT-beveiliging door de Inspectie voor de Volksgezondheid.

Daar komt ook bij dat het niet netjes is (mogelijks) dat de hacker dit meldt aan de media ipv eerst het betreffende bedrijf te contacteren. Vind hier echter niets van terug als dit al of niet gebeurd is dus kan er niet op oordelen.
Hier kan men uiteraard de vraag stellen of het ziekenhuis er enige aandacht aan zou gegeven hebben indien dit niet in de media kwam...

edit: klein stukje toegevoegd die ik vergeten was

[Reactie gewijzigd door Pure_evil op 27 november 2012 18:22]

Alhoewel ik het met de rest eens ben is je eerste vergelijking een beetje krom. Als de server inderdaad publieke toegankelijk was dan is deze vergelijking beter:

"Een persoon liep langs een auto die open stond en haalde daar de autoradio uit en liet dat zien aan de eigenaar van de auto."

Deze vergelijking gaat hier beter op want de hacker heeft het gemeld en het ziekenhuis was hem zelfs dankbaar. De vraag nu is was het echt publiek toegankelijk of niet? Want dat is het verschil tussen een open auto en een dichte auto :).
In feite gaat het dus om normen en waarden.
Het gaat om een recente zaak waarbij de data NIET PUBLIEKELIJK toegankelijk waren.

De data stond namelijk op een computer, aangesloten op het netwerk, dat een slechte beveiliging had. Waardoor de hacker binnen is gekomen.

Volgens nu.nl (7 okt, 2012)
De computer blijkt niet in het ziekenhuis te staan, maar in een datacenter van een provider dat vanaf internet toegankelijk is. Die toegang loopt via FTP, een technologie niet bestemd voor het
transporteren van gevoelige gegevens omdat de informatie onversleuteld over internet gaat.

Een ander probleem is dat het gebruikelijk is dat gevoelige gegevens na overbrengen van de server worden gehaald. Het blijkt echter dat de medische dossiers al sinds mei 2008 op de server stonden. Het wachtwoord van de beheerder, 'groen2000', is zeer voorspelbaar.
En de definitie van hacken, cracken eigenlijk, is toegang toekennen tot iets waar je niet voor geautoriseerd bent. Dus publiekelijk of niet, het blijft gewoon cracken. Vooraal aangezien je als persoon gewoon weet dat de data niet voor jou bestemd is als je ineens de persoonsgegevens van 493k man ziet.

EDIT: typos

[Reactie gewijzigd door Bilel op 27 november 2012 14:23]

Als het klopt dat die bewuste server bereikbaar was met FTP, ipv iets wat veiliger/betrouwbaarder is zoals SSH of misschien zelfs een VPN, dan wil ik wel eens een hartig woordje wisselen met degene wiens idee dat was.

Zou me niks verbazen als het ziekenhuis een goedkope amateur om tips had gevraagd. Ik zou zelf (voor het spotgoedkope tarief van 0 cent) ze een waterdicht, op veiligheid gespitst advies gegeven hebben.
Dat zei de persoon die ze ingehuurd hadden voor 0 euro ook.
Ik meen me te herinneren dat hacken het niet geauthoriseerd toegang verkrijgen is.
Terwijl cracken deze illegaal verschafde informatie misbruiken is.
(kaping, ransom, verkopen e.d.)

Het leek mij overigens ook al dat het niet openbaar was maar wel extern bereikbaar.

Hoe dan ook een slecht idee van die gast.
En de definitie van hacken, cracken eigenlijk, is toegang toekennen tot iets waar je niet voor geautoriseerd bent. Dus publiekelijk of niet, het blijft gewoon cracken.
Publiek of niet is precies het verschil. Bij publieke toegang is er geen spraken van autorisatie - en dus breek je niet in. Als het wachtwoord 1234 is, dan is er wel sprake van autorisatie. Als je dan het makkelijke wachtwoord via brute-force of anderszins achterhaald en jezelf toegang verschaft tot het systeem is het wel strafbaar.
Het is al de tweede keer dat bekend is geworden dat gevoelig informatie benaderbaar was:
Het is niet de eerste keer dat de informatiebeveiliging van het Groene Hart Ziekenhuis ter discussie staat. In 2011 tikte de Inspectie voor de Volksgezondheid het ziekenhuis nog in een brief op de vingers.Na een controle bleken ze een onvoldoende te scoren.
Ik neem aan dat het OM niet tot vervolging zal overgaan:
Samen met het National Cyber Security Center en beveiligingsbedrijf Fox IT wordt gewerkt aan een definitieve oplossing voor het probleem om dit in de toekomst te voorkomen. Er werd al gewerkt aan verbetering van de beveiliging. “We vinden het niet leuk dit te moeten horen, maar zijn de hacker dankbaar dat het gemeld is”, stelt de zegsvrouw.
Waarschijnlijk gaat het om een bron van Brenno de Winter, die onder naam van "het Nederlands Genootschap van Hackende Huisvrouwen" opereert. Je kan je, in mijn opinie, afvragen of dit niet gewoon een klokkenluider is, als de hacker de waarheid heeft gesproken althans.


@Tijger
Op een gegeven moment moet je toch bekijken of iets het melden waard is. Zo doet Tweakers dat ook wel eens, dan wordt er data gedownload om te kunnen verifiŽren of het persoonsgebonden informatie is. Tweakers kan altijd onder de journalistieke vleugel opereren, maar misschien is dat in dit geval ook wel gewoon journalistiek te noemen, aangezien het direct in samenwerking met Nu.nl tot stand is gekomen en gemeld is aan het Groene Hart Ziekenhuis.

[Reactie gewijzigd door SidewalkSuper op 27 november 2012 14:33]

Dat gaat alleen op als je de data niet download en het ziekenhuis inlicht, doe je dat wel dan ben je geen klokkenluider meer.
Waarschijnlijk gaat het om een bron van Brenno de Winter, die onder naam van "het Nederlands Genootschap van Hackende Huisvrouwen" opereert. Je kan je, in mijn opinie, afvragen of dit niet gewoon een klokkenluider is, als de hacker de waarheid heeft gesproken althans.


@Tijger
Op een gegeven moment moet je toch bekijken of iets het melden waard is. Zo doet Tweakers dat ook wel eens, dan wordt er data gedownload om te kunnen verifiŽren of het persoonsgebonden informatie is. Tweakers kan altijd onder de journalistieke vleugel opereren, maar misschien is dat in dit geval ook wel gewoon journalistiek te noemen, aangezien het direct in samenwerking met Nu.nl tot stand is gekomen en gemeld is aan het Groene Hart Ziekenhuis.
Dit vind ik altijd een moeilijk vraagstuk.
Voor mij hoeven klokkeluiders of hackers die slechte beveiliging aantonen niet vervolgd te worden.
Maar van de andere kant, moeten we dan ook maar gewoon er op vertrouwen, dat een hacker of klokkeluider zelf niets met die data heeft gedaan? En dat hij/zij eventuele gedownloade data (als bewijs) op zijn systemen ook heeft vernietigd?

Als dat niet duidelijk is, dan kan ik me weldegelijk voorstellen dat er een onderzoek wordt opgestart door het OM, gebaseerd op een aangifte van de gehackte instantie.
Juridisch is het dan beter voor de hacker om als verdachte aan te worden gemerkt, en niet als getuige of iets anders.
Het stond op een publiek toegankelijke server... dan is het toch geen inbraak?

Maar goed, hij heeft dus ook data 'weggenomen', des te erger en zeker strafbaar. Voorzover ik kan beoordelen is het meer diefstal dan inbraak.
Edit: foutje

[Reactie gewijzigd door sijmen95 op 29 november 2012 12:03]

Nee, hij leest wel goed (niet zo denigrerend aub, nergens voor nodig), het stond op een publiek toegankelijke server van het ziekenhuis. Dat die server publiek toegankelijk is betekent in dit geval gewoon dat het direct met internet verbonden was, niet dat er geen beveiliging op zat.
Tientallen medische dossiers en de gegevens van honderdduizenden patiŽnten van het Groene Hart Ziekenhuis in Gouda zijn jarenlang via internet toegankelijk geweest op een nauwelijks beveiligde computer.
De server bevat naast medische gegevens verder compleet installeerbare softwarepakketten van Microsoft, Adobe Flash en VMWare. Deze is duidelijk gericht op werkstations. Bonnie waarschuwt slechts vluchtig te hebben gekeken en niet uit te sluiten dat er nog meer informatie op de server staat.
De computer blijkt niet in het ziekenhuis te staan, maar in een datacenter van een provider dat vanaf internet toegankelijk is. Die toegang loopt via FTP, een technologie niet bestemd voor het
transporteren van gevoelige gegevens omdat de informatie onversleuteld over internet gaat.
Een ander probleem is dat het gebruikelijk is dat gevoelige gegevens na overbrengen van de server worden gehaald. Het blijkt echter dat de medische dossiers al sinds mei 2008 op de server stonden. Het wachtwoord van de beheerder, 'groen2000', is zeer voorspelbaar.
http://www.nu.nl/binnenla...kt-medische-dossiers.html

[Reactie gewijzigd door SidewalkSuper op 27 november 2012 14:38]

reactie op :Detmer8
wat dacht je van afpersing?
valt vaak toch goed geld mee te verdienen.

Bijvoorbeeld een rijkere zakenman die behandeld is voor een s.o.a. best vervelend als dat uitkomt en dus te chanteren met die gegevens.

Ook het ziekenhuis zou je om losgeld kunnen eisen voor de data.

Zo zijn er waarschijnlijk nog wel een paar verdien modellen te bedenken.

[Reactie gewijzigd door Sysosmaster op 27 november 2012 14:24]

gelet op de gebruikte terminologie, zijn het DBC gegevens, dus als het goed is, zijn de behandelplannen en diagnoses gecodeerd.

Daarnaast heeft het GHZ vermoedelijk een kleine anderhalf miljoen patienten in hun database.
Ik zou zeggen, succes met zoeken & interpreteren. Dan heb je dat losgeld wat mij betreft verdiend :+
Beetje vreemd om te lezen dat het om tientallen dossiers gaat en vervolgens om bijna een half miljoen patienten. Mag toch aannemen dat die half miljoen patienten allemaal een eigen dossier hebben? Dan zou het toch ook om duizenden dossiers gaan?
Tsja, zo bleek dat ik gewoon MMC kon opstarten om vervolgens een lokale user aan te maken, en via Shares die niet beveiligd waren overal bij kon. Een share niet mounten betekend niet dat je er niet bij kunt.

Dit hadden ze trouwens zo opgelost :)

Is wel al weer een 3 jaar geleden.
Zonde, had ie gewoon netjes gedaan (misschien 1 bestandje gedownload/toegevoegd) dan had ie waarschijnlijk al wat leuke banen aangeboden gekregen. misschien zelfs bij 'HTCU'

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBWebsites en communities

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True