Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 52 reacties, 16.709 views •

De 26-jarige man die ervan wordt verdacht het Groene Hart Ziekenhuis in Gouda te hebben gehackt, is weer vrijgelaten. Hij heeft volgens het OM een bekentenis afgelegd en zou bovendien malware op de computersystemen hebben gezet.

Naast de 26-jarige man zijn er ook andere verdachten betrokken bij het onderzoek, zegt het Openbaar Ministerie. In afwachting van het verdere onderzoek is hij vrijdag aan het einde van de middag vrijgelaten. Het is onduidelijk wanneer het onderzoek zal zijn afgerond. Naast dat hij zou hebben ingebroken in de computersystemen van het ziekenhuis zou hij malware op het computersysteem hebben gezet, claimt het OM.

De 26-jarige man wordt ervan verdacht binnen te zijn gedrongen op computersystemen van het Groene Hart Ziekenhuis in Gouda. Dinsdag werd de man opgepakt; een deel van zijn tijd in de cel bracht hij door in beperkingen, wat betekent dat iemand geen contact mag hebben met de buitenwereld, afgezien van zijn advocaat.

Dat de hacker werd aangehouden was omstreden, omdat hij volgens eerdere berichten geen kwade bedoelingen zou hebben gehad. Daarom reageerden Kamerleden 'ontsteld' op vragen over de aanhouding van it-journalist Brenno de Winter namens Nu.nl. Die reactie lijkt met de informatie van nu voorbarig te zijn geweest: de hacker wordt er immers van verdacht ook malware op het computersysteem te hebben geplaatst.

De hacker kreeg complimenten, omdat hij het ziekenhuis inlichtte en het 'bewijsmateriaal' dat hij buitmaakte weer zou hebben verwijderd. Het ziekenhuis zegt aangifte te hebben gedaan op advies van de politie, justitie, beveiligingsbedrijf Fox-IT en het Nationaal Cyber Security Centrum. Eerder zei minister Edith Schippers van Volksgezondheid blij te zijn met de manier waarop de hacker te werk ging: 'vernietigen van wat je hebt ingezien, maar wel aantonen dat het niet deugt'.

Volgens het ziekenhuis mag iemand zich echter niet zomaar 'zonder onze toestemming toegang verschaffen tot medische gegevens van patiënten'. Dat heeft de hacker toch gedaan, stelt het ziekenhuis. "Wat er met deze gedownloade gegevens van onze patiënten gebeurd is, is niet door ons te achterhalen. Zekerheid hierover kan alleen verkregen worden door aanhouding van de dader of daders."

Volgens het ziekenhuis is inmiddels duidelijker dat tussen 26 september en 7 oktober meerdere malen gegevens zijn gedownload uit het netwerk, waaronder 1800 gescande documenten uit medische dossiers van 47 patiënten. Het ziekenhuis benadrukt dat het gaat om gedigitaliseerde papieren dossiers, en dat de hack niets met het EPD te maken heeft.

Update 20:47: In dit artikel stond oorspronkelijk alleen dat de verdachte was vrijgelaten. De informatie van het Openbaar Ministerie over de bekentenis en de malware is later toegevoegd.

Reacties (52)

Klokkenluiderswet? Ik weet niet hoor, maar JUIST door dat je op wordt gepakt voor quasi-white-hat hacken, gebeurd dat gewoon minder. En krijg je meer problemen en beveiligingslekken.
Het is een beetje een grijs gebied (letterlijk), hij speelde nogal als greyhat hacker. Zonder toestemming binnendringen om vervolgens aan te geven van: Goh, jullie beveiliging deugt niet echt. Zou je daar niet wat aan doen?

Iemand die je huis binnendringt en je vervolgens verteld: Goh, je huis is niet echt veilig. Is bij wet ook een inbreker.
Als je dat doet bij een grote organisatie waarvan publiek wordt verwacht dat de beveiliging wel knor zit dan zou dat volgens mij voor typisch tv voer zorgen... en zou zo'n persoon waarschijnlijk ook niet aangeklaagd worden. Het verschil zit hem er in dat "zomaar bij iemand thuis" en een publieke instelling toch wel een groot verschil is. Weet ik veel, als je plotseling kunt binnenlopen in een OK dan is er ook wat mis.
Als er ingebroken wordt kun je wel met zekerheid zeggen of er iets is gestolen. Deze hacker kan wel zeggen de data te hebben vernietigd maar dat kun je nooit zeker weten.
er is ook een maatschappelijk belang; namelijk veiligheid van de systemen waar onze persoonlijke/medische data wordt opgeslagen

als iemand aantoont dat het systeem niet deugd ......
Binnenlopen op schiphol en een stoel uitproberen in de privejet van het koninklijk huis is ook inbreken. Is de beste man aangeklaagd? Nee en dat is maar goed ook. Sterker nog, keer op keer trappen grote publiek dienende organisaties en (semi-)overheden in dezelfde hoop stront en ze leren er keer op keer niet van. Wie niet horen wil moet maar voelen.
Pardon, Stegeman is wel dťgelijk vervolgd voor dat binnendringen met een vervalste pas. Het gerechtshof in hoger beroep sprak hem vrij (http://jure.nl/bq2983). Het ligt nu bij de Hoge Raad zelfs (zie alvast conclusie A-G http://jure.nl/by3752).
Vindt het zelf anders maar een verdacht zaakje. Waarom heeft deze man sowieso de gegevens gehad, dat snap ik niet helemaal. Hij had de bestanden toch niet nodig, om te weten dat er toegang was tot een onbeveiligde FTP server? Het ziekenhuis geeft ook aan dat de bestanden meerdere malen gedownload zijn. Waarom?

In het geval dat een hacker niets doet met de gegevens moedig ik overigens wel dit soort 'hacks' aan.
Ik lees net dat de hacker na de inbraak bij het GHZ kwaadaardige software achter had gelaten op het computersysteem. Ben wel benieuwd naar wat dan dan mag zijn.
Bron: http://www.om.nl/actueel/...@159865/verdachte-hacker/

[Reactie gewijzigd door DutchBreeze op 30 november 2012 20:52]

Daar geloof ik dus weer niks van omdat dat niet in het patroon valt van iemand die een gevonden lek welbewust rapporteert.

10 tegen 1 dat die meuk al aanwezig was.
Ik vond het al onzin, ik zou zeggen beveilig je spul beter. Domme fout van het ziekenhuis, en ja ik weet dat ALLES te hacken valt. Maar wie weet wat er met de dossiers is gebeurd...

Typo: Volgens het ziekenhusi

[Reactie gewijzigd door GiovanniK op 30 november 2012 18:57]

Volgende keer alles verwijderen, dan komt het ziekenhuis er wel achter dat het zo lek als een mandje is... slaat toch nergens op als je meldt dat het lek is en dan opgepakt worden? Laat ze dan gewoon op de koffie gaan bij de hacker en verhaal halen hoe en wat. (alles verwijderen is natuurlijk overdreven :P)
Wat voor kleur hoed je ook hebt, hacken is strafbaar, gewoon niet doen, hoe slim je ook denkt te zijn.
Laat de buitenlanders de servers maar plunderen en de ICT-beheerder een flinke celstraf geven, misschien dat dat helpt.
Nou ik vind alles vanaf grijs tot wit goed. Alleen als je zwart de dossiers gaat gebruiken dan pas aanklagen. Het is toch belachelijk, iemand die laat zien wat er fout is, niks verkeerds er mee doet e er vervolgens op de juiste manier een melding van maakt wordt gelijk in de bak gezet. Als ik een probleem van zo'n niveau vind zou ik het toch echt aan een journalist geven die het ook nog even gaat proberen. Die zijn niet schendbaar plus ik blijf (hopelijk) anoniem.
Desnoods dat ik het richting Undercover in Nederland stuur. Dan is het in ieder geval al op TV. Als mensen dan horen dat ik daarvoor opgepakt ben dan heeft het toch een andere sfeer; Nederlanders zullen dan meer besef hebben dat het niet zo hoort.
offtopic:
Je hebt gelijk, echter.. nja laat ook maar. Grenzen zijn er niet meer,
Als het iemand geweest was die wel kwade bedoelingen had en gewoon 'alles' dat hij gedownload had op het net gegooid had, niets gemeld had aan het desbetreffende ziekenhuis, en op die manier publiciteit probeert te halen dan hadden ze toch echt een groot probleem gehad bij dat ziekenhuis.
Leuk als 'klant' bij dat ziekenhuis heel je hebben en houwen op straat...

Deze persoon maakt melding, doet naar eigen zeggen niets met de gedownloade informatie en verwijderd dat. Ik zeg niet dat ik het er mee eens ben dat hij de boel 'gehacked' heeft, maar dit is erg netjes.

Er staat ook nergens dat ze de beveiliging gaan nalopen, alleen dat ze de 'verdachte' te pakken hebben en een hoop blabla.
Tja, als je goede bedoelingen hebt is het misschien handiger wanneer je niet de gegevens download, maar gewoon melding maakt. Nu zeg je niets met de gegevens te doen, maar hoe kunnen ze dat controleren anders dan door hem aan te houden?
Het probleem is dat je vaak niet serieus wordt genomen, en je soms zelfs geen eens antwoord krijgt.
Ik heb vorig jaar een website met aardig wat klanten ingelicht over een SQL-injectie mogelijkheid die ik toevallig tegenkwam. Om volledig legaal te blijven heb ik niet geprobeerd wat ik allemaal kon downloaden, en heb ik ze meteen ingelicht. Maar ik heb geen eens een antwoord ontvangen. Ze hebben de fout opgelost, en niets laten weten. Ook een bericht of ik nog antwoord ging krijgen, hebben ze genegeerd.
Als bedrijven zo omgaan met fouten, dan is het blijkbaar nodig om de pers in te schakelen en bewijs te verzamelen. Verbaast me dus niets dat hij gegevens heeft verzamelt, anders word je gewoon niet serieus genomen.

[Reactie gewijzigd door Patrick1995 op 30 november 2012 20:04]

hallow meneer ik heb toegang tot uw database....

acht rot toch op man dat is onmogelijk... en bovendien horen we dat dagelijks... val ons niet meer lastig of we bellen de politie...

letterlijk zo gegaan... bij een zaak waar ik bij betrokken was, het ging daarbij om een zorg instelling voor gehandicapten, en het verkrichten van meerdere admin en database wachtwoorden via het gewoonweg raden van wachtwoorden, en het uitvoeren van een sql truuckje... pas toen we met de verkregen data / en het tonen van de hack naar justitie gingen is men eens gaan kijken naar de problemen rond deze organisatie...
Deze persoon maakt melding, doet naar eigen zeggen niets met de gedownloade informatie en verwijderd dat. Ik zeg niet dat ik het er mee eens ben dat hij de boel 'gehacked' heeft, maar dit is erg netjes.
En hij is toch ook netjes vrijgelaten?
Hij is verhoort zodat men de zaak duidelijk kreeg, ik zie daar niks kwaads in.
Hij is een tijdje in een cel gezet en mocht met niemand behalve zijn advocaat praten. Dat is nťt even wat anders als een simpele verhoring ;)
Ook dat lijkt me normaal gedurende een onderzoek als men het vermoeden heeft dat er meer daders zijn, je wilt immers niet dat eventuele mededaders gewaarschuwd worden.
Ooit gehoord van het gezegde "geen goede daad gaat onbestraft"? Door iemand te helpen stel je je kwetsbaar op. Het is vaak makkelijker om te de persoon die jou helpt af te snauwen in een poging je eer te redden dan je eigen zwakheden bekennen. Blijkbaar kan je dan beter gewoon niet proberen te helpen. :)
offtopic:
Het is nu eenmaal zo, deal with it,..
Dat idee heb ik nu dagenlijks.. Klagen heeft toch geen nut. In je eentje en met zen alle bereik je ook niets.
Teleurstellend, Het ziekenhuis had hen gegevens beter moeten beveiligen.

Als een hacker je vervolgens op de hoogte stelt van een lek dat misschien wel misbruikt is kan je het toch niet maken om vervolgens tegen de hacker aangifte te doen.

Je zou juist moeten kijken hoe je het probleem oplost en hierbij samen werken.

Hackers met goede bedoelingen zullen nu zeker 2x nadenken of ze een lek wel of niet melden.

[Reactie gewijzigd door Jonathan-458 op 30 november 2012 19:04]

'Volgens het ziekenhuis mag iemand zich echter niet zomaar 'zonder onze toestemming toegang verschaffen tot medische gegevens van patiŽnten'

Waarom bestaat zo'n dienst niet eigenlijk?

Een groep beveiliging experts (hackers) die publiekelijke websites/database's nagaat, dan wel als overheids orgaan.

Als er dit soort nieuws op tweakers geplaatst word dan is het altijd negatief/te laat.
Er zijn genoeg van dat soort diensten, bij de diverse security-bedrijven kun je gewoon mensen inhuren om je beveiliging te laten testen.
precies... en dat kost geld, en dat mag dus niet van de baas, het moet allemaal zo goedkoop mogelijk, als een hacker hun op de vingers tikt door een fout te laten zien moeten ze niet meteen gaan janken en als slachtoffers gaan spelen, dit is eigen schuld dikke bult, als je een slechte beveiliging hebt krijg je dit, ze mogen nog blij zijn dat deze persoon geen kwaad wou doen

'Volgens het ziekenhuis mag iemand zich echter niet zomaar 'zonder onze toestemming toegang verschaffen tot medische gegevens van patiŽnten'

tja, daar heeft de echte hacker dus totaal schijt aan
Het is toch normaal dat je iemand die binnen is geweest even aan de tand voelt? Je kent die knakker helemaal niet (ik heb iig nog nooit met 'm geknikkerd) dus dan ga je nadat ie je systeem gekraakt heeft en van alles gedownload niet een bos bloemen sturen en 'bedankt' roepen. Dat kun je achteraf doen, maar ťťrst vaststellen wat er precies gebeurd is en 'm door justitie aan de tand laten voelen.
Doe je dat niet, zet je de deur open voor onverlaten die zich vermommen als zogenaamde ethical hackers en ondertussen wťl ongein uithalen met de data, of ze doorspelen naar derden. Whatever iemand anders ook kan met mijn scans.

Er wordt hier altijd heel spastisch gedaan als er een hacker oid wordt gearresteerd, alsof het allemaal heiligen zijn. Feit is dat die persoon een onbekende is. Als er een onbekende in mijn huis is geweest en mijn doodleuk vertelt dat mijn slot niet deugt, ik ook niet blij ben. Hij heeft immers ongevraagd in mijn privťzaken lopen neuzen. Het blijft een insluiper.

Als je ergens inbreekt, is het downloaden van veel gegevens natuurlijk helemaal niet nodig. Een bestand is voldoende om te laten zien dat het kan. Je hoeft ook weer niet de hele afdeling te downloaden. Dat maakt het op zijn minst dubieus.

Ik zeg niet dat de man kwade bedoelingen had, maar ook niet dat ie ze niet had. Ik ken 'm niet. Blijf objectief en verdedig iemand niet zonder meer zonder dat je EXACT weet wat er speelt. Het blijft voor 99% van de bezoekers hier een onbekende. Dus hoe stelt iedereen vast hoe betrouwbaar die meneer is?
Je gaat je zo langzamerhand afvragen of er nog iets WEL in orde is bij de gezondheidszorg. De laatste tijd kwamen langs in de media: Tandartsen die hun tarieven drastisch verhoogden zodra ze de kans kregen, zonder redelijk motief / Verslaafde specialist die jarenlang 125+ patiŽnten de meest gruwelijke nep-prognoses gaf / niemand die het doorhad in het ziekenhuis / Belachelijke bonussen voor allerlei chirurgen/commissieleden / ziekenhuis waar een gezonde long verwijderd werd / Specialist die meerdere malen meters metalen draden in patiŽnten liet zitten / Diverse hooggespecialiseerde afdelingen die gesloten werden vanwege onderlinge ruzie specialisten / Geschorste arts die gewoon elders weer aangenomen werd. etc, etc
Tja, de geslaagde behandelingen en operaties zijn geen nieuws (op een enkele bijzondere na) en daar zal je niks over horen. Dagelijks worden er duizenden mensen goed geholpen in de gezondheidszorg.
Natuurlijk kan de kwaliteit omhoog en zijn er bepaalde dingen mis, maar dat is overal zo.
Toen het VU medisch centrum geld kon verdienen aan een TV programma over de eerste hulp ten koste van de privacy van patiŽnten was er geen moeite teveel om alles illegaal op camera vast te leggen.

Nu moeten wij zeker geloven dat dit ziekenhuis opkomt voor belangen van patienten ...

Onzin, het ziekenhuis en foxit voelen zich in hun hemd gezet en willen nu de boodschapper in een slecht daglicht plaatsen.

Nu de tweede kamer vragen stelt, wordt de "verdachte" snel weer vrijgelaten vanwege angst dat de publieke opinie zich tegen het ziekenhuis zal keren.

[Reactie gewijzigd door (id)init op 30 november 2012 19:49]

Het een heeft natuurlijk geen hol met het ander te maken. Een carriŤre in de advocatuur ligt nog ver buiten jouw bereik.
Never mind...

Tweakers update: Het verhaal wordt steeds vreemder, als je het mij vraagt....

Het hele verhaal (na alle relevante artikelen sinds begin oktober gelezen te hebben) klinkt steeds schimmiger en lijkt meer en meer te gaan richting het zwart maken van een klokkenluider, dan dat het om de daadwerkelijke misstand(en) gaat.
Dat vind ik vreemd, omdat in eerste instantie er wel serieus met het probleem van databeveiliging leek te worden omgegaan en het niet ging om het 'ophangen' van de hacker.

En ja, tuurlijk, hacken is -in beginsel- strafbaar. Vergeet echter niet dat het net zo goed strafbaar is om onzorgvuldig met (gevoelige) persoonsgegevens om te gaan.

In dit verhaal lijkt mij dat er 2 opties zijn:
- Schuldigen opknopen: prima, maar dan aan 2 kanten, dus hacker en verantwoordelijke(n) voor het (on)zorgvuldig omgaan met persoonsgegevens, of
- Er wordt niet vervolgd: de hacker krijgt een bedankje voor het wijzen op het probleem en de verantwoordelijke(n) zorgen met het nieuwe inzicht dat het probleem zich niet meer voor zal doen.

[Reactie gewijzigd door ralph075 op 1 december 2012 00:03]

Het ziekenhuis benadrukt dat het gaat om gedigitaliseerde papieren dossiers, en dat de hack niets met het EPD te maken heeft.
Het EPD bestaat juist voor een groot deel uit ingescande papieren dossiers, inclusief onleesbare doktershandschriften. Het EPD bestaat daardoor ook allang. Dat niet iedereen het (landelijk) in kan zien is een andere discussie. Maar de hacker heeft wel degelijk in (een) EPD ingebroken.
[...]
Het EPD bestaat juist voor een groot deel uit ingescande papieren dossiers, inclusief onleesbare doktershandschriften. Het EPD bestaat daardoor ook allang. Dat niet iedereen het (landelijk) in kan zien is een andere discussie. Maar de hacker heeft wel degelijk in (een) EPD ingebroken.
Die verklaring vanuit het ziekenhuis is dan ook ordinaire 'Damage Control' om maar vooral niet in de huidige discussie over het landelijk EPD meegezogen te worden.

[post-update]
Ah, we gooien er ook nog malware installatie tegenaan.
Zullen we er een kratje bier op zetten dat die zooi al aanwezig was in het netwerk maar dat het OM dit er maar bijschuift om een punt te maken voor Ome Fred?

[Reactie gewijzigd door alt-92 op 30 november 2012 21:43]

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBWebsites en communities

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True