Vaccinatiegegevens van 1 miljoen Ieren uitgelekt door misconfiguratie database

De vaccinatiegegevens van een miljoen Ierse burgers waren eind 2021 tijdelijk inzichtelijk voor onbevoegden. Het datalek ontstond door een verkeerd geconfigureerde database van de Health Service Executive. Het lek werd in 2021 al gedicht, maar details zijn nu pas naar buiten gebracht.

Het lek werd in december 2021 al gevonden door de Ierse beveiligingsonderzoeker Aaron Costello. Destijds was het Ierse vaccinatieprogramma voor Covid-19 een jaar bezig. Costello ontdekte dat iedereen die zich registreerde bij het vaccinatieportaal van de HSE, de gezondheidsinformatie van een andere geregistreerde gebruiker kon inzien. Dat schrijft hij in een blog op de website van zijn werkgever AppOmni.

Niet alleen waren de volledige namen van gebruikers zichtbaar, maar ook vaccinatiedetails. Anderen konden bijvoorbeeld zien of iemand gevaccineerd was en met welk vaccin. Weigerde iemand de vaccinatie, dan was in de database te lezen welke reden daarvoor werd gegeven. Verder waren interne documenten van de HSE toegankelijk via het portaal.

Uit gedetailleerde logs van de HSE blijkt dat de data niet door ongeautoriseerde mensen is ingezien. Costello is volgens de HSE dan ook de enige die de fout gevonden heeft. "We hebben de misconfiguratie opgelost op de dag waarop we op de hoogte werden gesteld", zegt een woordvoerder tegenover TechCrunch. De data die door Costello is gezien toen hij het lek vond, was op zichzelf niet voldoende om iemand te identificeren, stelt de HSE. Daarom is besloten geen melding te maken van een datalek bij de Ierse privacytoezichthouder Data Protection Commission.

Na het oplossen van de fout ontstond een jarenlang proces over het openbaar maken van het datalek. Volgens Costello wilden diverse overheidsorganisaties het probleem niet openbaar maken. Daarom besloot hij zelf naar buiten te treden met de details.

IT-banen

Reacties (60)

HADES2001 14 maart 2024 15:30

Ik snap het even niet de tekst zegt "Uit gedetailleerde logs van de HSE blijkt dat de data niet door ongeautoriseerde mensen is ingezien." maar de titel zegt "Vaccinatiegegevens van 1 miljoen Ieren uitgelekt door misconfiguratie database"
Ligt de data nu op straat of is het op tijd ontdekt en niks aan de hand?

Blokker_1999

Datalek
Privacy

@HADES2001 • 14 maart 2024 15:36

Het is niet omdat mijn kraan lekt, dat iemand ook het water opvangt en gebruikt.

Er was een lek, in die zin dat data inzichtelijk was. Er is evenwel geen bewijs gevonden dat de data misbruikt is, gedownload is door mensen die in principe geen toegang hadden mogen hebben.

latka @Blokker_1999 • 14 maart 2024 15:52

Het probleem wat ik er altijd mee heb in die redenatie is: als je al niet in staat was de voordeur dicht te doen hoe kun je dan ooit weten dat onbevoegden niet binnen zijn geweest. Theoretisch zou dit wellicht kunnen, aan de andere kant: je kunt het niet uitsluiten en je staat al vrij zwak omdat je de voordeur openliet.
Als je huis leeggeroofd is omdat je voordeur openstond maar de webcam in de gang zag niemand binnenkomen geloof ik niet dat er ook maar 1 verzekeraar tot uitkeren overgaat en dat is wel vaak wat bedrijven verwachten van de mensen wiens gegevens potentieel op straat liggen.

Neyluzz @latka • 14 maart 2024 16:13

Dat kunnen ze niet uitsluiten en daar zinspelen ze ook op:

Uit gedetailleerde logs van de HSE blijkt dat de data niet door ongeautoriseerde mensen is ingezien. Costello is volgens HSE dan ook de enige die de fout gevonden heeft.

De gedetailleerde logging (define gedetailleerd) laat geen ongeautoriseerde toegang tot de data is zien.

De afwezigheid van bewijs is niet noodzakelijk bewijs van afwezigheid. Met andere woorden: dat er geen bewijs gevonden is dat iemand deze data heeft ingezien, anders dan Costello, is niet noodzakelijk bewijs dat dat daadwerkelijk zo is.

Zonder duidelijke uitleg van HSE over hoe de analyse is uitgevoerd valt moeilijk te beoordelen hoe zuiver deze conclusie is, het zijn tenslotte woorden uit de mond van de woordvoerder.

Bijzonder allemaal, zeker als je ziet hoe traag HSE en NCSC IE reageren op het disclosure verzoek van Costello. Het voelt alsof er een rookgordijn is opgeworpen.

[Reactie gewijzigd door Neyluzz op 25 juli 2024 22:46]

Rav @Neyluzz • 14 maart 2024 21:38

Ik denk dat je wat landen door elkaar haalt hier. Het gaat hier om de Ierse NCSC, niet die van het VK. De HSE is Iers, niet Brits.

Neyluzz @Rav • 14 maart 2024 22:19

Ik bedoelde inderdaad NCSC IE.

mjtdevries @Neyluzz • 15 maart 2024 17:08

De gedetailleerde logging (define gedetailleerd) laat geen ongeautoriseerde toegang tot de data is zien.

Dat hoeft natuurlijk niet.
Zeker bij zulke gevoelige data zou je ook geautoriseerde toegang tot data kunnen loggen.
En als er dan ook geen geautoriseerde toegang is geweest dan kun je wel veilig concluderen dat er geen data gelekt is.

Maar ik betwijfel heel sterk dat ze dat voor 1 miljoen Ieren binnen 72 uur na bekend worden van het lek hebben kunnen vaststellen.
Dat is de limiet waarop je moet besluiten om een datalek te melden bij de autoriteit persoonsgegevens van je land. Dus dat het niet gemeld is, fronst bij mij wel de wenkbrauwen.

squareware @latka • 14 maart 2024 18:01

Maar als je nou wel de voordeur dicht doet en op slot en je hebt als enige de sleutel... hoe weet je dan alsnog zeker dat er niemand binnen is geweest?

Robbaman @latka • 15 maart 2024 14:02

Nou, vrij eenvoudig, je laat je deur open staan en bekijkt vervolgens de camera footage van de camera die op je deur gericht staat.

Dat hebben ze hier dus blijkbaar ook gedaan. De API was toegankelijk, maar de gebruikslogs van deze API wijst uit dat er geen onrechtmatig gebruik van is gemaakt.

Althans, zo interpreteer ik het.

latka @Robbaman • 15 maart 2024 14:56

Tot zover de theorie. Als je al niet eens in staat bent je voordeur dicht te doen dan geloof ik natuurlijk niet dat je camera footage klopt. En ik heb hier ook geen reden toe, want je bent de meest basale zaken al aan het vergeten, dus je geloofwaardigheid is al onder nul. Dat is mijn probleem met mensen die naar logfiles wijzen en zeggen: er staan geen rare IPs in. Zijn je logfiles compleet? Hoe toon je dat aan? Je logt HTTP, maar zijn ze wellicht via een ander protocol binnen gekomen etc. etc. Dus nee, als je beveiliging niet goed geregeld is in de hele keten dan is je verdediging super zwak geworden.

Robbaman @latka • 15 maart 2024 15:13

Dat is wel een heel drastische conclusie om te trekken. Dus omdat iemand bijvoorbeeld een keer de deur niet hard genoeg achter zich dicht trekt is deze persoon direct over de hele linie incompetent? Dat gaat mij wel erg ver.

Het kan natuurlijk prima zijn dat degene die de camerainstallatie geplaatst heeft niet degene is die de deur open heeft laten staan.

latka @Robbaman • 15 maart 2024 18:23

Dat schrijf ik niet, het is ook niet een probleem van 1 individu, maar als je beveiliging afhankelijk is van 1 poppetje dan is je proces niet goed georganiseerd. Het mag nooit zo zijn dat 1 actie leid tot een complete breakdown van je hele security model. Als dat dus wel het geval is, heb je niet nagedacht over de juiste processen en kan ik de rest ook niet serieus nemen.

SpiceWorm @Blokker_1999 • 14 maart 2024 15:49

De bewering dat gegevens uitgelekt zijn impliceert wel degelijk dat die gegevens door onbevoegden zijn verkregen.

Een beveiligingsfout maakt nog niet dat gegevens 'uitlekken'. Je hebt in die zin gelijk dat een beveiligingslek niet tot een datalek hoeft te leiden, maar de kop stelt dat gegevens zijn uitgelekt (datalek).

Frame164 @SpiceWorm • 14 maart 2024 17:02

De kop klopt taalkundig niet.

HuisRocker @SpiceWorm • 14 maart 2024 18:25

Dat zie je toch echt verkeerd...
Een beveiligingsonderzoeker die een lek weet te vinden is immers ook een "onbevoegde"!

Conclusie; bij ieder gevonden lek is er dus sprake van 'uitlekken'.

Waar je het verkeerd interpreteert is het volgende; 'dat een lekkage van 1 druppel' (lees: de beveiligingsonderzoeker) geen lek zou zijn daar waar 'een lekkage van een liter t/m een oceaan' (lees: meerdere personen t/m een groot deel van de wereldbevolking) dat wel zou zijn. Maar aangetoond lek is en blijft lek ongeacht 'de hoeveelheid gelekt water'...

HuisRocker @YGDRASSIL • 14 maart 2024 20:00

Waar zeg ik dat 'de titel wel/geen clickbait zou zijn, omdat...' dan?
Ik reageer op SpiceWorm's:

"De bewering dat gegevens uitgelekt zijn impliceert wel degelijk dat die gegevens door onbevoegden zijn verkregen."

Nu trek je mijn post uit z'n verband...

De titel zou ik prima clickbait kunnen vinden samen met wat ik schrijf in reactie op SpiceWorm!

SpiceWorm @HuisRocker • 15 maart 2024 12:02

Ik maak in mijn post juist onderscheid tussen een beveiligingslek (wat dat ook maar mag zijn) en een datalek.

Een beveiligingslek is gewoon een fout in de beveiliging. Dat kan van alles zijn en hoeft niet tot een datalek te leiden.

HuisRocker @SpiceWorm • 17 maart 2024 12:26

Dat klopt ook niet, er is stiekem geen verschil. Of iets wel of niet is uitgelekt na een 'beveiligingslek' is onmogelijk met zekerheid te stellen. Of, zoals iemand anders hier het al prachtig omschreef:
"Wie bewezen al niet in staat is de (digitale) 'deuren dicht te doen' (en houden) kan je ook niet vertrouwen wanneer de vraag gesteld moet worden of er wel/niet iets is 'gestolen' (lees: uitgelekt)."

SpiceWorm @HuisRocker • 17 maart 2024 19:46

Natuurlijk is er wel een verschil tussen die twee.

Dat je niet met zekerheid kan vaststellen en/of de een, of de ander is gebeurd, betekent niet dat het dan dus ook maar hetzelfde is.

[Reactie gewijzigd door SpiceWorm op 25 juli 2024 22:46]

GrooV @Blokker_1999 • 14 maart 2024 16:36

Dan moet de titel zijn dat de database lek was, niet dat de gegevens "uit de database zijn gelekt"

Jaldea @Blokker_1999 • 15 maart 2024 12:14

Wat betreft hierin dat precies de data lek, dan lijkt het gewoon op een security probleem. Verkeerde mensen hadden rechten om gegevens in te zien van 1 mil mensen, dat kan ook gaan om een manager die rechten had in andere afdelingen vanwege zijn functie, maar niet bedoeld was voor het daadwerkelijke functioneren, maar er niet per se iets mee (kan) doen.
Pas als de data gebruikt, gedownload of op straat is is dat toch pas een data lek?

Frituurman 14 maart 2024 15:17

Op X worden door bepaalde groepen die tegen vaccinatie waren al schande van gesproken. Maar welbeschouwd is er uiteindelijk dus niets gebeurd, behalve dat een beveiligingsonderzoeker het heeft ontdekt en dat het lek vrijwel direct daarna is gedicht én er is geen enkele aanwijzing dat iemand dit heeft ingezien. Natuurlijk moet dit soort dingen voorkomen worden, maar je ziet dit soort configuratie-issues wel vaker bij 'blokkendozen' zoals Salesforce. Het oude credo 'RTFM' kan weer van stal. Ik merk bij onze huidige IT-leverancier dat bepaalde configuratiestappen gewoon worden 'doorgeklikt'. Zonder kennis van zaken. Volgende!

HenkEisDS @Frituurman • 14 maart 2024 16:46

Na je comment pas doorgeklikt en gezien dat het inderdaad om Salesforce gaat. Het is niet standaard functionaliteit om inzage in records te loggen. Je kunt dit wel inrichten, en ook bijvoorbeeld een limiet zetten op het aantal records dat een user/admin mag inzien, maar records hebben niet een accesslog in de ‘blokkendoos’. Uit het, volledigere en journalistiekere, TechCrunch artikel, schijnt dat dit wel was ingericht. Misschien dat dit als extra in Salesforce’s Health Cloud zit. Als het echter is ingericht door dezelfde prutsers die Community Users (gebruikers die via de website inloggen) toegang gaven tot andermans records vind ik het te makkelijk te verwijzen naar de door hen zelf gemaakte accesslog. Als Salesforce zelf dit zou beweren dan zou ik er meer fiducie in hebben aangezien zij wel gewoon beschikken over raw accessdata op databaseniveau.

[Reactie gewijzigd door HenkEisDS op 25 juli 2024 22:46]

Tintel

Privacy

@Frituurman • 14 maart 2024 16:14

is geen enkele aanwijzing dat iemand dit heeft ingezien.

En hoe is dit dan bekend? Het is in ieder geval onjuist aangezien degene die het lek heeft gevonden dus andermans gegevens kon inzien. Dan kun je stellen dat hij de enige was mits dus elke 'show-data' actie wordt gelogged aan wie dit werd getoond. Dat laatste zou kunnen.

Welbeschouwd stond gevoelige informatie 'open' voor iedereen....

Zorgvuldigheid wordt niet bereikt door te stellen "waarschijnlijk niets gebeurd (en vooral niemand vertellen) en verder".

Frituurman @Tintel • 14 maart 2024 16:32

Uit gedetailleerde logs van de HSE blijkt dat de data niet door ongeautoriseerde mensen is ingezien.

Daaruit blijkt dat.

Jaldea @Tintel • 15 maart 2024 12:17

Wie zegt dat het voor "iedereen" open heeft gestaan.

Kan me genoeg scenario's in denken waarbij mensen die wellicht geen toegang meer hebben nog wel in andere systemen staan met rechten.
Geen toegang meer tot de server maar nog wel een gebruiker in de database bijvoorbeeld.

Dat is een security issue, en in mijn ogen niet zo zeer een data lek.

locke960 @Frituurman • 14 maart 2024 16:58

Ze hebben gelijk om er schande van te spreken. Niet eens omdat er iets fout ging, maar hierom:

Na het oplossen van de fout ontstond een jarenlang proces over het openbaar maken van het datalek. Volgens Costello wilden diverse overheidsorganisaties het probleem niet openbaar maken.

Dat is gewoon fout, en ook erg dom omdat het olie op het vuur is.

kodak

Datalek
Privacy

14 maart 2024 15:27

DECC stated that they would not usually disclose an issue that has already been rectified in the past.

Hier ontbreekt elke vorm van inhoudelijke argumentatie. Ze stellen namelijk niet onder welke voorwaarden ze het wel bekend zouden maken. Waarbij ze in de praktijk ook tijdens het probleem niets bekend gemaakt hebben. Er lijkt dus eerder geen wil te zijn om problemen publiek te erkennen. Anders had men wel inhoudelijke grenzen genoemd of willen discussiëren.

latka @kodak • 14 maart 2024 15:55

Erger nog: als er een bug is die gefixed is hoef je na het fixen niks te melden is zoals ik het lees. Als het goed is zul je te allen tijde eerst het lek dichten en daarna na gaan denken over de communicatie. In het geval van de redenatie van DECC hoef je dan dus nooit iets te melden. Fraai is dat.

Aldy @kodak • 15 maart 2024 17:10

Laten we vooral niks zeggen dat we vreselijk slordig met de privégegevens van onze inwoners zijn omgegaan. Ik hoop dat het verzwijgen (niet het lek zelf) nog consequenties zal hebben. Op deze manier is het een totaal onbetrouwbare overheid.

david-v

14 maart 2024 15:32

Niet alleen waren de volledige namen van gebruikers zichtbaar, maar ook vaccinatiedetails

en dan verder in het artikel

De data die door Costello is gezien toen hij het lek vond, was op zichzelf niet voldoende om iemand te identificeren, stelt de HSE

Na het oplossen van de fout ontstond een jarenlang proces over het openbaar maken van het datalek. Volgens Costello wilden diverse overheidsorganisaties het probleem niet openbaar maken

ah, duidelijk, typisch gevallatje van doofpot...

wica 14 maart 2024 14:55

Is er een land in de EU, die deze gegevens niet gelekt heeft?

Kevinp @wica • 14 maart 2024 15:42

Is er niemand die het erg gevaarlijk vind om de weigering te registreren ipv gewoon niks. (als in niet komen opdagen ofzo).

Tintel

Privacy

@Kevinp • 14 maart 2024 16:17

Ja, ik vond dit ook al apart..... vrij keuze impliceert dat toch wel (er valt niets te registreren als je het niet deed, zou de stelling moeten zijn). Natuurlijk leuk voor de statistieken zegt men dan - maar dan heb je geen persoonsgegevens nodig, alleen aantal.

ThaStealth 14 maart 2024 15:00

Hoe kan een misconifguratie van een database ervoor zorgen dat je data van een ander kan inzien? Was dit een database die aan het internet hing? SQL Injection? Geen controle of het opgehaalde profiel ook van de (ingelogde) gebruiker zelf was?

Als ik de bron had gelezen voordat ik mijn comment typte was het me duidelijk geworden. Ze hebben hun Salesforce applicatie fout geconfigureerd, de rechten op de tabel die deze data bevatte stonden fout.

Het grote nadeel van dit soort "klik en configureer het bij elkaar" software is dat je verder afzit van de daadwerkelijke applicatie als een maatwerkapplicatie, en dit soort misconfiguraties niet altijd snel door hebt.

[Reactie gewijzigd door ThaStealth op 25 juli 2024 22:46]

CyBeR @ThaStealth • 14 maart 2024 15:05

Hoe kan een misconifguratie van een database ervoor zorgen dat je data van een ander kan inzien? Was dit een database die aan het internet hing? SQL Injection? Geen controle of het opgehaalde profiel ook van de (ingelogde) gebruiker zelf was?

Als ik de bron had gelezen voordat ik mijn comment typte was het me duidelijk geworden. Ze hebben hun Salesforce applicatie fout geconfigureerd, de rechten op de tabel die deze data bevatte stonden fout

Bronartikel le-- oh je had 'm al gevonden. (Grappig, blijkbaar haalt t.net de gequotte post opnieuw op als je op quote drukt, want zo staat 'ie niet op mijn scherm.)

Inderdaad het woord "database" wordt hier nogal ruim gebruikt; de misconfiguratie was eigenlijk bij de webapplicatie die toegang gaf tot de database.

[Reactie gewijzigd door CyBeR op 25 juli 2024 22:46]

Kol Nedra 14 maart 2024 15:29

moet je voorstellen mocht Europa cbdc uitrollen en alles staat centraal op 1 plek

electricretard 15 maart 2024 13:52

Agja als je in die database staat heb je andere dingen om je zorgen over te maken dan je data die op straat ligt.

Xtreem1988 @Canaboid • 14 maart 2024 15:21

Zucht, de EU wordt bestuurd door de lidstaten, dus ook de Nederlandse regering, het Europees Parlement heeft geen zeggenschap. De EU wordt bestuurd door alle nationale overheden. Maar daarnaast, nog geen enkele regering instantie heeft bewezen met digitale gegevens veilig om te kunnen gaan.

Kevinp @Xtreem1988 • 14 maart 2024 19:49

Dat wil niet zeggen dat iemand er geen vertrouwen in kan hebben.

Er staan alleen maar feiten jn het bericht wat de eu graag wil. En dat hij het er niet mee eens is. Gewoon een 0 reactie.

FrankHe

@Canaboid • 14 maart 2024 16:25

Haal even rustig adem. Het heeft niets met de EU te maken, dit zijn afzonderlijke soevereine landen die zelf bepalen wat ze doen. Er zit geen duister plan achter.

sircampalot @FrankHe • 14 maart 2024 19:41

Er zit geen duister plan achter

Dat denk ik ook niet, maar verder dan denken of aannemen kom ik niet.

david-v

@Canaboid • 14 maart 2024 17:31

Nou ik heb er 0% vertrouwen in!

Weet je nog het digitaal dossier voor huisartsen? heel gedoe, niemand wilde het, geen vertrouwen enz?

Ik heb toen het nog allemaal papier werk was mijn medisch dossier van de ene huisarts naar de andere overgebracht. De papieren stapel die ik meekreeg bevatte mijn volledig medisch dossier + het dossier van iemand anders die ook het medisch dossier had aangevraagd. Papier of digitaal, het heeft beide zijn voor en nadelen.

Gelukkig heb je tegenwoordig wel de nodige sancties en de verplichting om dit soort zaken te melden. Al hebben ze in dit geval dit alsnog proberen stil te houden wat heel slecht is en waarschijnlijk nog een staartje krijgt. Bedrijven/instellingen die met persoonsgegevens werken zijn echt heel bang voor de problemen die dergelijke datalekken met zich brengen, van reputatieschade tot aan de mogelijke boetes die je kan krijgen. Ik zie daar echt vooruitgang in ten opzichte van 10 jaar geleden. We zijn er nog lang niet, maar we gaan wel de goeie kant op.

OLED @Canaboid • 14 maart 2024 15:51

Je kunt twijfels hebben of zelfs 0% vertrouwen, maar het is belangrijk om te blijven geloven in de EU en het democratische proces. Stem dus op politieke partijen die databescherming en privacy heel hoog hebben staan. Alleen op die manier kan je zorgen voor een betere privacy, voor jezelf, en je EU-medeburgers

Kevinp @OLED • 14 maart 2024 19:50

En welke partijen zijn dat die dat niet alleen zeggen maar ook doen. Ik weet het oprecht niet meer.

OLED @Kevinp • 14 maart 2024 19:59

Het schijnt dat sowieso deze zich ervoor in zet maar ze hebben jammer genoeg nooit voldoende stemmen gekregen om echt iets uit te halen begreep ik:

https://piratenpartij.nl/

(Ik ben er niet mee verbonden of zo, maar het is de enige die in mij opkomt)

Daejji @OLED • 14 maart 2024 20:35

Ja sorry hoor, op dat soort partijen zal ik nooit van mijn leven stemmen.
Ik stem niet alleen maar in verband met dit soort zaken in mijn achterhoofd… er zijn vele belangrijkere zaken.

rookie no. 1 @Krommetenen • 14 maart 2024 20:36

Nou, nou -1 is ook weer niet nodig. Hooguit een off-topic, maar toch is het enigszins gerelateerd.

https://datalek-ggd.nl/zi...k-amsterdam-22-april-2024

Juist met medische gegevens waar ook min-of-meer dwang - en angstgevoelens bij kwamen kijken is het zeer belangrijk dat aan overheidsgerelateerde organisaties/instellingen hier uiterst zorgvuldig mee omgaan en, dit blijkt maar weer, zo weinig mogelijk gegevens en zo kort mogelijk bewaren. Hopelijk wordt hiervan geleerd.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (60)

Sorteer op:

Weergave: