Bedrijf schikt voor 7 miljoen dollar voor medische data in openbare GitHub-repo

Een Amerikaans bedrijf dat medische data van 136.000 patiënten lekte, heeft een schikking van zeven miljoen dollar getroffen met de slachtoffers. Een Nederlandse hacker vond de gegevens in een repo op GitHub. Daarin stonden onder andere medische gegevens en bsn's.

De Nederlandse beveiligingsonderzoeker Jelle Ursem, die op Tweakers bekend is als Schizoduckie, ontdekte de data in 2020 in een openbare GitHub-repository. Het ging om data van het Amerikaanse bedrijf MedData, dat onder andere facturatiesoftware maakt voor gezondheidsinstellingen in dat land. Een werknemer van het bedrijf zette tussen december 2018 en september 2019 persoonlijke gegevens van patiënten op GitHub. Het ging naast NAW-gegevens ook om gezondheidsdata en social security numbers. Er stonden gegevens van in totaal 135.908 patiënten in de repo.

Nadat Ursem de data in de repo vond, probeerde hij contact op te nemen met MedData. Dat bedrijf reageerde daar aanvankelijk niet op, maar haalde uiteindelijk de data offline. Of dat overigens volledig is gebeurd, is niet bekend; de data zou in sommige gevallen ook zijn doorgestuurd naar de GitHub Arctic Code Vault.

Volgens Top Class Actions heeft MedData nu een schikking getroffen met de slachtoffers. Het geeft daarbij geen fouten toe, maar zegt zeven miljoen dollar uit te trekken als compensatie. Slachtoffers kunnen aanspraak maken op vijfduizend dollar als ze kunnen aantonen dat ze schade hebben geleden door het datalek. Ook kunnen ze vijfhonderd dollar krijgen voor de tijd die ze nodig hebben gehad om bijvoorbeeld wachtwoorden te wijzigen of kredietscores te monitoren. Alle slachtoffers kunnen bovendien aanspraak maken op een datamonitoringdienst.

Jelle Ursem is als hacker aangesloten bij het Dutch Institute for Vulnerability Disclosure. Hij vindt regelmatig data in openbare bronnen. Tweakers sprak hem daar in 2022 over in een interview.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 22-03-2024 17:30
34 • submitter: wildhagen

22-03-2024 • 17:30

34

Submitter: wildhagen

Lees meer

Populaire tj-actions-tool op GitHub bevatte code die secrets openbaart
Populaire tj-actions-tool op GitHub bevatte code die secrets openbaart Nieuws van 16 maart 2025
Enquêtewebsite SurveyLama lekt gegevens van 4,4 miljoen gebruikers
Enquêtewebsite SurveyLama lekt gegevens van 4,4 miljoen gebruikers Nieuws van 3 april 2024
Nederlander ontdekt Azure-bucket van Fujitsu die jaar lang op internet stond
Nederlander ontdekt Azure-bucket van Fujitsu die jaar lang op internet stond Nieuws van 21 maart 2024
Avast krijgt 16,5 miljoen dollar boete voor verkopen van data aan adverteerders
Avast krijgt 16,5 miljoen dollar boete voor verkopen van data aan adverteerders Nieuws van 23 februari 2024
Rechter vernietigt AVG-boete voor Enschedese wifitracking omdat AP te streng was
Rechter vernietigt AVG-boete voor Enschedese wifitracking omdat AP te streng was Nieuws van 2 februari 2024
Drie Duitse ziekenhuizen staken spoedeisende hulp na ransomwareaanval
Drie Duitse ziekenhuizen staken spoedeisende hulp na ransomwareaanval Nieuws van 28 december 2023
Agentschap Telecom start onderzoek naar cybersecurity omvormers zonnepanelen
Agentschap Telecom start onderzoek naar cybersecurity omvormers zonnepanelen Nieuws van 4 september 2022
Hacker kon software van zonnepanelen met omvormers Chinese Solarman aanpassen
Hacker kon software van zonnepanelen met omvormers Chinese Solarman aanpassen Nieuws van 25 juli 2022
Meer producten en artikelen
Politiek en recht Privacy Datalek Medisch Rechtszaak

Reacties (34)

-Moderatie-faq
34
33
17
0
0
9
Wijzig sortering
tjallo 22 maart 2024 17:54
Met 7 miljoen komen ze er nog goed vanaf. Dat deze dingen in deze branch nog kunnen gebeuren (en te vaak gebeuren) in deze tijd is echt ongekend.
david-v @tjallo22 maart 2024 18:16
Elke keer als ik betrokken wordt bij een intake voor een software pakket die uitbesteed wordt is het eigenlijk altijd wel raak. Van gecompileerde binaries (van elke oplevering uiteraard, tig jaar terug) database backups enz in een code repo. Ik heb nooit begrepen waarom mensen de behoefte hebben om dat mee te nemen in een repo. Onbegrijpelijk.

Maar dat je ook nog eens blijkbaar productie data hebt kunnen exporteren en vervolgens ook nog eens in die repo stopt en die repo is ook nog eens openbaar... Dan heb je echt gefaalt als software bedrijf.

Ik snap ook niet hoe dit kan. Dat er door een configuratie fout, hack of bug je data door onbevoegden uit te lezen is is al erg genoeg, dit is mi nog een stapje erger.
SchizoDuckie @david-v23 maart 2024 01:37
Mijn dayjob is programmeren. Ik weet precies hoe het klappen van de zweep werkt.
Dat maakt me denk ik ook zo goed in het opsporen van foutjes die andere programmeurs maken, ik kan me verplaatsen in het meest idiote wat iemand kan doen en daar ga ik op zoeken. Vaak met resultaten zoals deze :'(
ronaldmathies @tjallo22 maart 2024 18:27
Je leest het verkeerd, ze hebben 7 miljoen gereserveerd, maar klanten krijgen alleen iets als ze kunnen aantonen dat ze er gevolgschade door hebben. En dan is er een maximum van 5000 dollar.

Ze verwachten dus dat er maar 1400 mensen maximaal gaan claimen. Maar goeveel mensen kunnen daadwerkelijk aantonen dat ze gevolgschade hebben. Ik verwacht dat ze maar heel weinig schade uitkeringen hoeven te doen.
Blokker_1999
@ronaldmathies22 maart 2024 19:11
Aan de andere kant weten ze ook hoe groot de klas was die aan deze zaak heeft deelgenomen. Mensen die niet aan de zaak hebben deelgenomen zullen alsnog apart een regeling moeten treffen. En de juiste advocaten zullen ook wel een schatting kunnen maken over hoeveel er gemiddeld zal geclaimd worden.

Het grootste deel zal trouwens naar de advocaten gaan. Maar als je dan ziet hoeveel advocatenkantoren erbij betrokken zijn, zullen ook zij geen vetpot rapen aan dit dossier.
L0g0ff 22 maart 2024 17:54
Dat is fraai. Dat je aanspraak moet maken op een schade vergoeding. Zo kan ik ook wel vergoedingen uitdelen van meerdere miljoenen.

Je weet namelijk helemaal niet of er door deze datalek gegevens van jou in andere databases terecht zijn gekomen. Hier kun je jaren later nog hinder van ondervinden.

Het zou beter zijn als ze die getroffen personen pro actief zouden benaderen en dan geld naar ze over zouden maken.
SchizoDuckie @L0g0ff23 maart 2024 01:35
Dat hebben ze gedaan. Onderdeel van de class-action is zelfs dat ze een postkaartje naar iedereen die in het lek voorkwam stuurden zodat ze aanspraak kunnen maken op de verzekering voor identiteitsfraude
Aldy @SchizoDuckie23 maart 2024 14:01
Twee vragen:
Hoe heb je ze zover gekregen dat ze toch met die lek naar buiten traden en in het artikel staat dat een werknemer die gegevens online had gezet. Was dat per ongeluk of was daar opzet in?
SchizoDuckie @Aldy23 maart 2024 14:43
Ik kan geen uitspraken doen over hoe iemand er bij komt om PHI naar github te uploaden want ik kan me daar gewoon echt niet in verplaatsen.
Het zo ver krijgen dat ze met het lek naar buiten treden had heel veel voeten in de aarde, Ik heb samen met Databreaches.net een paper uitgebracht genaamd "No need to hack when it's leaking" waar een aantal van deze ervaringen uitgelicht werden. Zonder hulp van deze journalist IN de US die zich wilde vastbijten in deze zaken was er nergens iets van terecht gekomen
GoBieN-Be @L0g0ff22 maart 2024 18:27
Je krijgt 500$ zonder aantoonbare schade. Tot 5.000$ als je schade geleden hebt. Bijvoorbeeld identiteitsfraude n.a.v. deze gegevens.
Minimise @GoBieN-Be22 maart 2024 18:31
Toon maar eens aan dat de identiteitsdiefstal wel 5000 waard is, want bijna overal heb je een tweede factor als verificatie nodig en kun je met alleen de gestolen data niks!
cariolive23 @Minimise23 maart 2024 17:14
en kun je met alleen de gestolen data niks!
Volgens het laatste nieuws is 1+1 nog steeds 2. Data wordt al sinds jaar en dag gelekt, nu deze dataset daar bij komt, kun je de puzzel compleet maken. En een zeer groot aantal slachtoffers maken.

Met deze data kun je een profiel maken van de klanten, uitzoeken wie naar alle waarschijnlijkheid wel geld heeft en wie niet. Je kunt fake aanmaningen gaan sturen, etc etc. Wanneer 1 op de 1000 daar in trapt, heb ik mooi 136 slachtoffers die elk bijvoorbeeld 1000 USD betalen. Ik kan me niet herinneren dat ik ooit 136.000 USD heb “verdiend” met een uurtje “werk”
Minimise @cariolive2324 maart 2024 22:17
“ Wanneer 1 op de 1000 daar in trapt, heb ik mooi 136 slachtoffers die elk bijvoorbeeld 1000 USD betalen.” Veels Te optimistisch droom scenario! Meer realistisch scenario: de eerste aanmaning wordt genegeerd, bij de tweede aanmaning komt het massaal in de spam mapje en kom jij op de zwarte lijst te staan, bij de derde aanmaning wordt er aangifte gedaan van fraude en wordt je rekening geblokkeerd. Kortom: 0,00 Euro opbrengst en mag jij weer een nieuwe bank gaan zoeken, want je rekening is geblokkeerd!
cariolive23 @Minimise24 maart 2024 22:46
Denk je nou echt dat er nog criminelen bestaan die géén katvangers gebruiken? Jij onderschat ernstig de succesrate van dit type criminelen. Ik durf te wedden dat jij een of meerdere mensen kent die slachtoffer zijn geworden van dit soort praktijken.
Minimise @cariolive2325 maart 2024 06:41
Katvangers zijn uiterst onbetrouwbaar. De rekening kan op ieder willekeurig moment geblokkeerd worden! Voordat het geld over gemaakt is, is de rekening geblokkeerd en heb je al die moeite om de katvanger aan te trekken voor niks gedaan.
cariolive23 @Minimise25 maart 2024 14:53
Jouw naïviteit siert je. Helaas onderschat je hiermee ook de criminaliteit en kun je evenmin uitleggen hoe het dan mogelijk is dat er (wereldwijd) voor vele miljarden euro's fraude per jaar wordt gepleegd. Deze instelling houdt de criminaliteit mede in stand, want "je kunt bijna geen slachtoffer worden van fraude". Toch?

Hier een rapport met gedetailleerde informatie over fraude in de UK, daar waar men zeer nauwkeurig de fraudes registreert. Deel alle cijfers door 4.5 en je krijgt een idee van de omvang in Nederland. Binnenkort komt het rapport over heel 2023, waarvan we nu de laatste puntjes op de i zetten.

Helaas houdt men deze cijfers niet zo gedetailleerd bij in Nederland, laat staan dat ze worden gedeeld.
Minimise @cariolive2325 maart 2024 19:45
Meh, ik doe er dagelijks onderzoek naar, en begrijp de nuances veel beter dan iemand die alleen maar van anderen heeft horen zeggen en nooit zelf praktijk onderzoek doet. UK is een andere markt waar Britten hun naam zonder geld kunnen veranderen naar iets onbenulligs als “SpongeBob Squarepants”, en gewoon zonder problemen een nieuw paspoort en creditkaart kan aanvragen op die nieuwe naam, waar je de deur gewezen wordt als je over een fraude geval bij het politie bureau komt, en doorverwezen wordt naar de doodleuke brochures van ActionFraud over hoe jij fraude zelf de volgende keer moet voorkomen, maar ook waar bij de topbanken je tussen de 5/10 en 9/10 gewoon je geld terug krijgt bij een fraude melding mits je per creditcard of debitcard betaalt, dus goh, kunnen mensen lekker overal fraude noemen om alleen hun geld overal terug voor te krijgen 😈😛

[Reactie gewijzigd door Minimise op 22 juli 2024 21:58]

cariolive23 @Minimise25 maart 2024 20:00
In dat geval weet jij ook hoe eenvoudig het is om bij Bunq namens een money mule een rekening te openen. En hoe je daar direct een tiental virtuele IBAN's bij aan te maken, zodat het voor de buitenwereld lijkt alsof je 10 verschillende bankrekeningen hebt. En wanneer ik in naam van mijn katvanger toch al tien rekeningen heb bij Bunq, kun je ook nog even via iDeal verificatie namens deze zelfde katvanger ook bankrekeningen openen bij oa SNS (Volksbank). Uiteraard bestel ik op naam van de katvanger ook een paar telefoonabonnementen met wat (goedkope) telefoons die via direct debit "worden" betaald.

Maar zoals ik al eerder schreef, in Nederland worden deze fraudes niet/nauwelijks genoteerd en al helemaal niet gerapporteerd. Laatste nieuws van de NVB ging alleen over de fraudes die hun leden zouden moeten vergoeden. En niet over de fraudes waar hun klanten slachtoffer van worden.
Minimise @cariolive2325 maart 2024 20:09
Tuurlijk weet ik hoe laks bunq is met hun eigen interpretatie van de wet, en niet alleen internationale paspoorten zonder verblijfsvergunning accepteerde, maar zelfs bank accounts van niet bestaande kinderen van 17 jaar en jonger met niet bestaande BSNs en zonder paspoort controle laat aanmaken onder een katvanger “ouder account”, en deze zonder controle aan laat houden wanneer de nep persoon ouder dan 18 wordt, en hoe makkelijk het door de FIOD getolereerd wordt als “maatschappelijke discussie” die al gaande is sinds de laatste keer toen ik dat vak over financieel economische criminaliteit op de universiteit volgde. Maar er is geen garantie dat de rekening waarop jij die telefoon besteld en dat zwarte geld ontvangt over een jaar nog bestaat, want dat kan de volgende werkdag na een melding geblokkeerd zijn…

[Reactie gewijzigd door Minimise op 22 juli 2024 21:58]

cariolive23 @Minimise25 maart 2024 20:15
Maar er is geen garantie dat de rekening waarop jij die telefoon besteld en dat zwarte geld ontvangt over een jaar nog bestaat, want dat kan de volgende werkdag na een melding geblokkeerd zijn…
Maar dan heb ik toch zowel de telefoon als het geld wat ik met fraude heb verkregen, ontvangen? En uiteraard al witgewassen.

Dat zo'n rekening na een dag is geblokkeerd, zelfs bij Bunq, who cares? De crime heeft plaatsgevonden, het geld is weg en de crimineel dankzij de katvangers alleen met grote inspanning en langdurige onderzoeken, te achterhalen. Als samenleving heb je daar niet zo veel aan, criminelen blijven doorgaan omdat de business case er is. En des te meer data er wordt gelekt, des te beter de business case wordt.
Minimise @cariolive2325 maart 2024 20:33
Het zorgt ervoor dat de mensen die de zowel fraude plegen als onderzoeken altijd genoeg werk te doen hebben, met steeds meer extra verificaties en nep informatie om de extra verificaties weer te omzeilen. De fraudeurs en fraude onderzoekers worden steeds rijker en de maatschappij steeds armer…
Blokker_1999
@Minimise22 maart 2024 19:09
Alle onkosten die je gemaakt hebt komen in aanmerken. Heb je bijvoorbeeld een nieuwe kredietkaart moeten aanvragen dan mag je ook die kosten gewoon declareren of zelfs gewoon de postzegels voor alle brieven die je hebt moeten sturen. Maar ja, als je een schadevergoeding wenst, moet je wel schade kunnen aantonen natuurlijk. Het grootste probleem is dat schade ook in de toekomst nog kan ontstaan.
Minimise @Blokker_199922 maart 2024 19:13
Nieuwe creditcard is vrijwel altijd gratis, tegenwoordig voldoet een gratis nieuwe virtuele creditcard in Apple Pay vaak al! Postzegels zijn niet de moeite waard! E-Mails zijn gewoon gratis, dus dan gaat men gewoon aanvoeren dat de postzegels niet noodzakelijke kosten zijn die dus daarom niet in aanmerking komen als ze moeilijk willen doen!

[Reactie gewijzigd door Minimise op 22 juli 2024 21:58]

Minimise @Travelan23 maart 2024 05:00
Ik denk dat jij eerder nog nooit te maken hebt gehad met rechters die de meest redelijke schadevergoeding bij voorbaat afwijzen!
Travelan @Minimise23 maart 2024 09:23
Welcome in America
TheVivaldi @Minimise22 maart 2024 18:57
Ook in de VS?
Minimise @TheVivaldi22 maart 2024 19:09
Tegenwoordig vrijwel wel. creditcard gestolen: via de app te blokkeren, sturen ze vaak SMS berichten en bellen ze je op en blokkeren automatisch ongebruikelijk lijkende transacties.
SSN gestolen: via credit report te monitoren, gewoon FraudAlert en CreditFreeze activeren voor tweefactor verificatie!
ari-equal95 22 maart 2024 20:55
Snapt iemand waar de 7 miljoen vandaan komt?
Als 135.908 patiënten 5500 dollar ontvangen gaat het om €747.494.000,-

Gaan ze er dan al van uit dat bijna niemand het proces gaat starten? Of dat een groot deel van de slachtoffers niet kan aantonen schade te hebben geleden?
Aesculapius 23 maart 2024 08:52
Subtitel is ietwat verwarrend, er bestaat in VS immers geen BSN, dat is een Nederlands iets (en niet gelijk aan Social security number).
MeneerGroot 22 maart 2024 17:57
Die schikkingen gaan nooit naar de "slachtoffers" . Dat is nog het bizarre aan schikkingen. Gegevens van jou en mij en het geld gaat naar de staat.
wildhagen
@MeneerGroot22 maart 2024 17:59
Ehm, heb je het artikel wel gelezen? Die schikking is met de slachtoffers dus, niet met de staat:
Volgens Top Class Actions heeft MedData nu een schikking getroffen met de slachtoffers. Het geeft daarbij geen fouten toe, maar zegt zeven miljoen dollar uit te trekken als compensatie. Slachtoffers kunnen aanspraak maken op vijfduizend dollar als ze kunnen aantonen dat ze schade hebben geleden door het datalek. Ook kunnen ze vijfhonderd dollar krijgen voor de tijd die ze nodig hebben gehad om bijvoorbeeld wachtwoorden te wijzigen of kredietscores te monitoren. Alle slachtoffers kunnen bovendien aanspraak maken op een datamonitoringdienst.
Wart jij bedoelt is een boete. Die gaat inderdaad naar de eisende partij, vaak de overheid. Maar een boete en een schadevergoeding, waar het hier over gaat, zijn twee totaal verschillende zaken.
Blokker_1999
@MeneerGroot22 maart 2024 18:58
De schikking wordt getroffen met de slachtoffers in een class action zaak. Dat is een civiele procedure, de staat heeft daar niets mee te maken. De vergoeding gaat dus naar de slachtoffers.

Vaak is er evenwel wel een regeling waarbij de advocaten van de klas met een aanzienlijk percentage van de schadevergoeding gaan lopen, en dat percentage wordt niet bepaald op de uitbetaling aan de slachtoffers, maar wel op de getroffen regeling. In dit geval dus een percentage van die 7 miljoen.
HollowGamer 23 maart 2024 11:03
Laat mij raden, dezelfde developers werken nog bij het bedrijf?

Een lek waar je echt niets aan kan doen, daar heb ik begrip voor. Maar sommige gooien gewoon productie data in een lokale database of uploaden het dus naar een repo..

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq