Gegevens van 2385 patiënten van het Academisch Medisch Centrum in Amsterdam waren in te zien dankzij een kwetsbaarheid bij een pagina van een derde partij. Naast naw-gegevens ging het om onder andere burgerservicenunmmers, verzekeringsgegevens en afspraken.
Het lek betrof het online inschrijfformulier van de polikliniek Mondziekten, Kaak- en Aangezichtschirurgie van het AMC. De kwetsbaarheid kwam vorige week vrijdag aan het licht toen Nelson Berg van beveiligingsbedrijf BinaryIT online een afspraak bij het AMC moest maken om zijn verstandskies te laten trekken. "Ik ben nieuwsgierig en loop dan soms even de beveiliging na. Dankzij een waarschuwing op de site en met behulp van sqlmap kreeg ik via sql-injectie toegang tot een database met 3500 records", vertelt Berg aan Tweakers.
Het bleek een database van een derde partij te zijn, waarin tal van gegevens over patiënten stonden. Het ging om naam, adres, woonplaats, verjaardag, geslacht en e-mailadres, maar ook om bsn, verzekeraar, verzekeringsnummer, huis- en tandartsinformatie en afspraken. Berg nam na de ontdekking contact op met het AMC en stuurde zijn bevindingen naar het NCSC.
Volgens Berg was de informatie 'in strijd met de procedures' bij de derde partij gehost: "Iedere particuliere developer kon bij de gegevens." Volgens de beveiligingsexpert zijn er meer sites van het betreffende bedrijf vatbaar voor sql-injectie. Sql-injectie is een veelgebruikte aanvalsmethode door hackers, maar ook iets dat relatief eenvoudig is te voorkomen. Dat gebeurt ook steeds vaker omdat er veelvuldig incidenten aan het licht komen waarbij kwaadwillenden databases plunderen na sql-injectie.
Een woordvoerder van het AMC bevestigt tegen Tweakers dat de kwetsbaarheid heeft bestaan en dat het uiteindelijk 2385 personen betrof: "We hebben de pagina na de melding gelijk offline gehaald. Deze is zo'n 4 á 5 jaar geleden waarschijnlijk online gegaan. Op de website van het AMC stond een link naar de pagina."
Het AMC heeft een Information security & privacy protection officer maar het potentiële datalek bleef buiten zijn radar. "Die moet dan wel weten dat er een externe pagina ergens staat. We zijn zorgvuldig, maar het bleek toch niet zorgvuldig genoeg. We laten nu alle externe webpagina’s testen op kwetsbaarheden", aldus de woordvoerder.
Het AMC heeft patiënten om wie het ging ingelicht over het incident en heeft het lek gemeld bij de Autoriteit Persoonsgegevens.