Hackers verkopen toegang tot medische gegevens van 1,5 miljoen Fransen

De medische gegevens van 750.000 Fransen zijn door hackers openbaar gemaakt na een cyberaanval op het elektronisch patiëntendossier MediBoard. De hackers zeggen de gegevens van in totaal 1,5 miljoen mensen te hebben gestolen, waaronder medische informatie.

Een hacker of hackersgroep die zichzelf nears of near2tlg noemt, verkoopt volgens Bleeping Computer toegang tot de systemen van MediBoard, een Frans platform om medische gegevens van ziekenhuis- en dokterspatiënten uit te wisselen. Dat platform wordt door meerdere Franse ziekenhuizen gebruikt. De hackers zeggen toegang te hebben en toegang te verkopen tot de gegevens van 1,5 miljoen patiënten. Het gaat daarbij om persoonsgegevens en paspoort- en identiteitsbewijzen, maar ook om medische gegevens zoals facturen, medicatie en afspraken met artsen en specialisten.

Om te bewijzen dat de hackers toegang hebben, verkopen ze naast de toegang zelf ook de gegevens van 758.912 patiënten. Die gegevens bevatten minder informatie, maar alsnog gegevens over de huisartsen en medicijngebruik. Op het moment zijn die gegevens nog niet verkocht, dus is ook niet met zekerheid te zeggen of de data legitiem is.

De maker van het medische platform, Softway Medical Group, bevestigt in een reactie aan onder andere Bleeping Computer dat er inderdaad een inbraak heeft plaatsgevonden. Volgens het bedrijf hebben de aanvallers geen kwetsbaarheid uitgebuit, maar zijn ze binnengekomen via gestolen credentials van een eindgebruiker. De gegevens worden niet gehost bij dat bedrijf, maar bij de ziekenhuizen zelf. De aanval zou hebben plaatsgevonden op 19 november.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 22-11-2024 12:32
31 • submitter: wildhagen

22-11-2024 • 12:32

31

Submitter: wildhagen

Lees meer

Digital Trust Center meldt afname van ransomware-incidenten in Nederland
Digital Trust Center meldt afname van ransomware-incidenten in Nederland Nieuws van 17 februari 2025
Europa krijgt Cybersecurity Support Centre voor ziekenhuizen en zorgverleners
Europa krijgt Cybersecurity Support Centre voor ziekenhuizen en zorgverleners Nieuws van 15 januari 2025
Hackers voorzien Chrome-extensie securitybedrijf van malware, konden data stelen
Hackers voorzien Chrome-extensie securitybedrijf van malware, konden data stelen Nieuws van 29 december 2024
Eerste ransomware werd 35 jaar geleden verspreid
Eerste ransomware werd 35 jaar geleden verspreid .Geek van 12 december 2024
'Grote ransomwarebende BianLian versleutelt geen data meer, steelt alleen nog'
'Grote ransomwarebende BianLian versleutelt geen data meer, steelt alleen nog' Nieuws van 22 november 2024
Zuid-Korea levert vermeende beheerder Phobos-ransomware uit aan VS
Zuid-Korea levert vermeende beheerder Phobos-ransomware uit aan VS Nieuws van 19 november 2024
Interpol haalt ruim 22.000 malafide IP-adressen offline
Interpol haalt ruim 22.000 malafide IP-adressen offline Nieuws van 7 november 2024
NCTV: Nederland loopt nog steeds groter risico op digitale ontwrichting
NCTV: Nederland loopt nog steeds groter risico op digitale ontwrichting Nieuws van 28 oktober 2024
Autoriteit Persoonsgegevens: in 2023 zeker 178 geslaagde ransomwareaanvallen
Autoriteit Persoonsgegevens: in 2023 zeker 178 geslaagde ransomwareaanvallen Nieuws van 22 oktober 2024
Meer producten en artikelen
Beveiliging en antivirus Frankrijk Ransomware

Reacties (31)

-Moderatie-faq
31
31
25
0
0
4
Wijzig sortering
avlt 22 november 2024 12:52
Bij iedere datadiefstal in miljoenengrootte vraag ik me af hoe het mogelijk is om een dergelijke hoeveelheid data op te vragen zonder dat er allerlei toeters en bellen afgaan.
Frankyfreeze @avlt22 november 2024 13:18
Oh das simpel de meeste database systemen loggen dit soort dingen ook wel echter is de export dan al gedraait en verstuurt.

En hoewel 1.5 miljoen wel veel is, als de credentials van iemand waren die geregeld grote datadumps/exports nodig heeft zoals BI dan kunnen er wel toeters afgaan, maar dan let niemand erop.
Mr_gadget @Frankyfreeze22 november 2024 13:26
Eigenlijk zou dit gelimiteerd moeten zijn. En dan voor analyse voor wetenschappelijk onderzoek een aparte geanonimiseerde database maken o.i.d. Of geen toegang tot herleidbare gegevens geven aan onderzoekers. Ben geen database expert dus weet niet of dat zomaar kan.
Maar het is toch wel knap lullig als je medische dossier op straat ligt. Smullen voor de roddelpers als er ook toevallig een paar bekende Fransen bij zitten.

[Reactie gewijzigd door Mr_gadget op 22 november 2024 14:52]

FreezeXJ @Mr_gadget22 november 2024 13:37
Eigenlijk zou veiligheid heel belangrijk moeten zijn ja, maar dat kost allemaal geld, en ontwikkeltijd, en om het daarna goed in te regelen kost nog veel meer. Raad eens: dit soort bedrijven zijn commercieel, dus je mag vechten voor je ontwikkeltijd, en wel tegen de aandeelhouder. Ga je niet winnen. Ja, bij deze tent nu wel, maar de concullegas geloven nog dat alles goed genoeg beveiligd is, tot het lekt. En dan is het toch al te laat, en mag de tent wel dicht, want ik vermoed dat hier nog wat schadeclaims uit gaan volgen.

Het beste dat we kunnen doen is a. het vermogen van de eigenaren direct aansprakelijk stellen voor geleden schade (dus faillisement door grove schuld = alsnog betalen), en flink publiciteit regelen hiervoor zodat het ook de Telegraaf haalt, en niet alleen de tech-sites. Mooi jankverhaal over een directeur die echt vertrouwde op z'n mensen, en die tactisch wat signaaltjes genegeerd had, en nu z'n boot moet verkopen. Dat komt aan.
worldfastest @FreezeXJ22 november 2024 14:07
Je hoort dan ook nooit dat bv een bank is gehacked. Dit komt omdat er 10 tallen miljoenen per jaar worden geïnvesteerd in beveiliging van de gegevens. Dit moet dan weer van de ECB.

Nu kan iedere idioot een website opzetten met een mysql database en daar allemaal gegevens van iedereen gaan opslaan zonder enige vorm van beveiliging. Wordt er ingebroken en zeg je sorry en we gaan weer verder.

In de EU moet gewoon verplicht worden gesteld dat wanneer je bv meer dan 1000 personen opslaat je minimaal deze beveiliging hebben en procedures geïmplementeerd hebben . Wordt je toch gehackt en je had achteraf het niet voor elkaar. Iedereen x bedrag (minimaal 1000 euo) als schade vergoeding uitkeren via de EU en dit verhalen op de het bedrijf en als deze failliet gaat op de persoon.

Wil je dit niet dan niet een bedrijf starten...
CAPSLOCK2000
@worldfastest22 november 2024 15:58
Je hoort dan ook nooit dat bv een bank is gehacked. Dit komt omdat er 10 tallen miljoenen per jaar worden geïnvesteerd in beveiliging van de gegevens. Dit moet dan weer van de ECB.
Dat je er niet van hoort betekent niet dat het nooit gebeurt.
Banken zijn afhankelijk van hun reputatie en zullen er alles aan doen om diefstallen en hacks geheim te houden om het vertrouwen van hun klanten niet te verliezen.
Soms horen we iets via toezichthouders maar dat is vast niet alles.
In de EU moet gewoon verplicht worden gesteld dat wanneer je bv meer dan 1000 personen opslaat je minimaal deze beveiliging hebben en procedures geïmplementeerd hebben . Wordt je toch gehackt en je had achteraf het niet voor elkaar. Iedereen x bedrag (minimaal 1000 euo) als schade vergoeding uitkeren via de EU en dit verhalen op de het bedrijf en als deze failliet gaat op de persoon.
Eigenlijk is dat al zo, als leverancier/bedrijf moet je goed voor je klanten zorgen en goede IT hoort daar ook bij. In praktijk is er echter veel ruimte en nauwelijks toezicht of controle. We komen er pas acher als het al te laat is. Het is net als bij andere overtredigen/misdrijven: de pakkans is belangrijker dan de hoogte van de straf. Daarnaast kan geld de schade eigenlijk niet herstellen.

De overheid is voorzichtig begonnen met controles zodat je problemen kan vinden voor ze optreden. Dat staat echter nog in de kinderschoenen en is alleen voor de grootste en belangrijkste sectoren. De website van de bloemist om de hoek heeft daar nog niet mee te maken en dat is denk ik wel nodig.

Ik zou bijna willen dat je een vergunning of diploma nodig hebt om databases met persoonsgegevens op te zetten. Net zoals je jezelf niet zomaar "dokter" of "rechter" mag noemen, maar volgens mij is de wereld daar nog niet klaar voor.

Ik ben inmiddels radicaler en wil strenge maatregelen om te voorkomen dat data wordt opgeslagen. Data die er niet is kan ook niet lekken. Zo ongeveer Ieder bedrijf heeft tegenwoordig een klantenbestand, een besteloverzicht, een marketinglijst of een andere database en typisch groeien die vooral en worden zelden opgeruimd. De algemene insteek is "misschien kunnen we in de toekomst nog iets met deze data, laten we het maar bewaren, weggooien kan alitijd nog". Wettelijk zijn daar grenzen aan gesteld maar zonder direct toezicht is daar weinig respect voor.

Mijn voorstel is om data als geld te gaan behandelen en te belasten.
Als je data verzameld moet je inkomstenbelasting betalen (in gewoon geld).
Als je data opslaat moet je vermogensbelasting betalen.
Dan gaan bedrijven wel nadenken over hoe ze zo min mogelijk data kunnen opslaan en bewaren.

Bijkomend voordeel is dat "betalen met je data" vergelijkbaar wordt met "betalen met geld". Nu is het maar de vraag wat we nu echt betalen voor dat soort sites en of de prijs van een abonnement een goede deal is of niet.
vanstra @CAPSLOCK200022 november 2024 20:22
Ik ben inmiddels radicaler en wil strenge maatregelen om te voorkomen dat data wordt opgeslagen. Data die er niet is kan ook niet lekken. Zo ongeveer Ieder bedrijf heeft tegenwoordig een klantenbestand, een besteloverzicht, een marketinglijst of een andere database en typisch groeien die vooral en worden zelden opgeruimd. De algemene insteek is "misschien kunnen we in de toekomst nog iets met deze data, laten we het maar bewaren, weggooien kan alitijd nog". Wettelijk zijn daar grenzen aan gesteld maar zonder direct toezicht is daar weinig respect voor.
Precies dit. Helemaal mee eens.
Superstoned @vanstra23 november 2024 08:37
Hier nog een, helemaal mee eens.

De EU Cyber Security Act gaat trouwens wel de eisen wat verhogen - lang niet genoeg, maar het is een goede stap vooruit.
Dooxed @worldfastest22 november 2024 14:49
Ja, bij banken en grote verzekeraars wel ja omdat ze anders hun licentie kwijt raken. Zonder licentie geen toegang tot de markt.
TD-er @worldfastest22 november 2024 20:12
Het is minder erg als er een bank gehackt zou worden.
Elke gestolen euro kan ook daadwerkelijk vergoed worden en jouw xxx euro saldo op je rekening zal na het vergoeden niets anders zijn dan daarvoor.
Medische gegevens kun je echter niet vergoeden... of althans het medisch geheim van die gegevens.
Even aangenomen dat jouw gegevens niet aangepast zijn door de inbrekers.

Je kunt niet ineens ervoor zorgen dat die gegevens weer geheim zijn als ze gelekt zijn.

Sowieso is het heel vreemd dat je met de credentials van 1 persoon zoveel gegevens kunt benaderen.
Dat zou nooit goedgekeurd mogen zijn en wat dat aangaat zou er wel eens een hele keten aan diensten en personen aangepakt mogen worden om de gigantische steken die ze hebben laten vallen.

Maar goed, aangezien dit waarschijnlijk tot zeer hoog niveau zou gaan, is er een kleine kans dat er ook echt diepgaand onderzoek gedaan gaat worden waardoor daadwerkelijk dingen gaan veranderen.
CAPSLOCK2000
@FreezeXJ22 november 2024 15:32
Ja, bij deze tent nu wel, maar de concullegas geloven nog dat alles goed genoeg beveiligd is, tot het lekt. En dan is het toch al te laat, en mag de tent wel dicht, want ik vermoed dat hier nog wat schadeclaims uit gaan volgen.
De softwaremarkt voelt voor mij soms als casino, de kans dat je verliest is groot en de veilige strategie is om niet te spelen. Het casino zit vol met mensen die spelen met geleend geld, de data van hun klanten.

Zolang het goed gaat is het mooi en geweldig. Als het fout gaat dan is de klant de pineut.
De klant kan dan heel boos worden maar de data is weg/gekopieerd en dat is niet meer goed te maken.
Misschien gaat het bedrijf dan failliet maar de klant is z'n data kwijt. In praktijk zie ik dat eigenlijk nooit, over het algemeen weten leveranciers zichzelf prima in te dekken en alle risico's bij de klant neer te leggen.

De leveranciers willen niet gokken maar de markt is zo dat je haast wel moet. Wie geen risico's neemt en alles goed probeert te doen is veel te duur en krijgt geen klanten. Zeker bij security is het heel lastig om mensen te overtuigen om meer te betalen voor iets dat ze niet kunnen zien. De bedrijven die de grootste risico's nemen zijn het goedkoopste en krijgen de meeste klanten.

Als het fout gaat blijkt er een kale kip onder te zitten die niet geplukt kan worden.
Het beste dat we kunnen doen is a. het vermogen van de eigenaren direct aansprakelijk stellen voor geleden schade (dus faillisement door grove schuld = alsnog betalen), en flink publiciteit regelen hiervoor zodat het ook de Telegraaf haalt, en niet alleen de tech-sites. Mooi jankverhaal over een directeur die echt vertrouwde op z'n mensen, en die tactisch wat signaaltjes genegeerd had, en nu z'n boot moet verkopen.
Dat is in principe hoe ieder bedrijf werkt, de eigenaar is de klos als het bedrijf failiet gaat.
brievenbusfirma. In praktijk zijn de machtigen heel goed in hun verantwoordelijkheid ontwijken en neer te leggen bij een ondergeschikte of bij brievenbusfirma een een ver land. Naast dat contracten vaak zo zijn opgesteld dat de leverancier uit de wind wordt gehouden. Die leverancier weet namelijk dat het een casino is.

Sterker nog, ik ken nauwelijks voorbeelden van bedrijven die failliet zijn gegaan na een hack of datalek.
Sterker nog, ik ken meer voorbeelden van gevallen waarin de aandacht rond een hack/lek vooral werkte als reclame. Het bekendste voorbeeld is een dating-site voor mensen getrouwde mensen die vreemd willen gaan en niet failliet ging door een hack maar juist enorm groeide, en die bestaat nog steeds.

De paar gevallen waarin bedrijven wel failliet gingen was er eigenlijk altijd meer aan de hand of waren bedrijven in een sowieso "bijzondere" markt, zoals bitcoin exchanges en NTF-handelaren.
PhilipsFan @FreezeXJ22 november 2024 16:23
Het beste wat we kunnen doen, ik stoppen met deze onzin. Medische gegevens zijn te gevoelig om te bewaren in elektronische systemen. Mensen die geen chronische ziekte hebben, kunnen zich dat niet voorstellen, want he, wat maakt het nu uit of de hele wereld weet dat ik een griepje of een wratje had.

Maar veel mensen hebben daar informatie in staan die zeer schadelijk kan zijn als deze uitlekt. Welke werkgever wil mij nog hebben als bekend is dat ik kanker heb? Welke vrouw wil mij hebben als ze weet dat ik 'm niet omhoog kan krijgen?

Ik begrijp dat een arts veel patiënten heeft en de informatie over die patiënt ergens moet opslaan. Hij/zij kan het niet allemaal onthouden. Maar het moet niet elektronisch en zeker niet online of in de cloud. Dan komt er teveel informatie op een plek. Een enkele huisartsenpraktijk is niet zo interessant om te hacken, want dan heb je hooguit data over 1000 patiënten. Een online systeem dat door alle huisartsen wordt gebruikt is een veel aantrekkelijker doel.

We moeten met z'n allen constateren dat medische gegevens veel te gevoelig zijn. Onhackbare systemen bestaan helaas niet, dus leg de informatie dan niet zo massaal vast.
Niet Henk @Frankyfreeze22 november 2024 13:39
Omdat dit een data-uitwisselingsplatform is moet er geheel geen toegang voor onderzoekers/BI lui zijn. Onderzoekers en BI lui mogen gegevens bij de ziekenhuizen zelf ophalen, maar moeten het niet uit een uitwisselingsplatform vissen.

Uitwisselingsplatforms hebben we in Nederland ook, maar zijn alleen bedoeld voor de overdracht van patiëntgegevens tussen zorgverleners, en om gegevens op te halen bij een onverwacht contact met een patiënt, bijvoorbeeld als iemand onverwachts op de spoedeisende hulp komt. Voor deze doelen is het niet denkbaar dat één persoon binnen afzienbare tijd toegang tot duizenden dossiers nodig heeft, laat staan anderhalf miljoen.

Als dit om een hack van een ziekenhuis zou gaan, had je een punt, daar is het denkbaar dat één persoon toegang nodig heeft tot een berg gegevens, maar bij uitwisselingsplatforms zou zoiets nooit moeten kunnen.
EdwinHamers @avlt22 november 2024 14:00
Om je een idee te geven. Als ik een database dump maakt, bijvoorbeeld van MySQL, or Oracle, dan kan ik dat binnen 5 minuten uitvoeren en heb ik tabellen met 10+ miljoen records. Dat is dus zo gebeurd.
Bor Coördinator Frontpage Admins / FP Powermod
@EdwinHamers22 november 2024 23:29
Wat betreft tijd wel maar een database met 10+ miljoen records zal meestal niet zo klein zijn. Je kan monitoring systemen gericht op het detecteren van data ex-filtratie op meerdere manieren inregelen.
Storm-Fox @avlt22 november 2024 13:23
Slimme hackers gaan niet gelijk veel data uploaden maar throttlen de upload zodat het niet zo makkelijk opvalt. Net als de hack bij Sony heeft het maanden geduurd voordat het gewenste datapakket binnen was.
CAPSLOCK2000
@avlt22 november 2024 14:48
Bij iedere datadiefstal in miljoenengrootte vraag ik me af hoe het mogelijk is om een dergelijke hoeveelheid data op te vragen zonder dat er allerlei toeters en bellen afgaan.
Op dezelfde manier als dat de meeste mensen geen alarm in hun huis of op hun fiets hebben. Het zit niet in ons denken om dingen zo te bouwen. Mensen zijn fundamenteel positief ingesteld en gaan uit van het beste. Risico's schatten we steevast te laag in en rekenen er op dat we geluk hebben.

Vaak is er ook nog een gepslitste verantwoordelijkheid tussen de bouwer van de database-software, de programmeur die er een applicatie bovenop heeft gebouwd en de klant/gebruiker die het moet gebruiken/beheren. De klant gaat er vanuit dat de leverancier alles regelt en de leverancier gaat er van uit dat de klant de handleiding leest en de instructies volgt.
YGDRASSIL @avlt24 november 2024 10:27
Een miljoen namen met rekeningnummer is ongeveer 80 MByte zonder compressie. Met conpressie moet je zeg maar 10MByte downloaden. Dat kan in een seconde. Het lijkt veel data maar dat valt reuze mee.
TweakerTom 22 november 2024 15:44
Het hele idee achter dit soort platforms berust op oud denken, gemakzucht en data-verzamel-honger.
Het zou prima op een andere manier ingericht kunnen worden, zodat het veel moeilijker wordt om gegevens te achterhalen. In ieder geval minder makkelijk dan op deze manier, van een centraal platform. Wat in software-ontwikkeling al jaren bestaat, Separation of Concerns, zou inhoudelijk ook toegepast kunnen worden in de zorgketen. Eigenlijk hoeft je zorgverlener je naw-gegevens niet te hebben, maar alleen een registratie bij een verzekeraar. En een verzekeraar hoeft alleen de factuur van de zorgverlener te hebben en de betaling te doen, maar medische gegevens niet. Etc. etc. Dat is een kwestie van vertrouwen en dat klinkt eerst misschien raar, maar ik heb nog geen goede tegenargumenten gehoord waarom dit niet zou kunnen.
bazzi @TweakerTom22 november 2024 15:53
omdat ze bang zijn dat het fraude in de hand werkt. Terwijl je best checks en balances kan toepassen die je 1x per x (laat) controleren. Maar vaak is er een datahonger. Ik zelf ontwikkel ook aan applicaties en ik ben altijd als ene gek bezig: hebben we die data echt wel nodig en is deze applicatie de juiste plek voor die informatie.
Organisaties hebben eerst altijd het idee: ja hebben we nodig want x y z, maar als je doorvraagt kan de dataset altijd veel kleiner. Maar is altijd een "gevecht".
TweakerTom @bazzi23 november 2024 12:56
Ja, precies. Je kunt prima steekproefgewijs controleren op fraude.
En ik snap je punt over datahonger die nergens over gaat, zoals laatst over de ZwemApp op Tweakers.
Die strijd zou eigenlijk veel harder gevoerd moeten worden...
Gelukkig zijn er nog ontwikkelaars die de handschoen opnemen ;)
Mathijs Kok @TweakerTom23 november 2024 12:03
Eigenlijk hoeft je zorgverlener je naw-gegevens niet te hebben, maar alleen een registratie bij een verzekeraar.
Mmmm, ik prefereer toch dat mijn huisarts me bij mijn naam aanspreekt en niet als meneer VNBZ7675544323, jij niet?
TweakerTom @Mathijs Kok23 november 2024 12:58
Eigenlijk niet.
Ik heb liever dat mijn huisarts mij aanspreekt op de door mijzelf gekozen of verzonnen (voor)naam, dan dat al mijn medische gegevens in een datalek direct herleidbaar zijn naar mijn naam, adres, telefoonnummer, bsn nummer, etc.
mrtl 22 november 2024 12:36
De gegevens worden niet gehost bij dat bedrijf, maar bij de ziekenhuizen zelf.
Nu ben ik er niet van om alles op een enkele server te gooien, maar in dit geval hangt de veiligheid dus van elk individueel ziekenhuis af.
Amarius 22 november 2024 12:46
"gestolen credentials van een eindgebruiker." Dus via 1 eindgebruiker hebben ze 1.5 miljoen persoonsgegevens kunnen stelen? Hoe werkt zoiets? Wat betekent eindgebruiker in deze zin?
watercoolertje @Amarius22 november 2024 12:55
Een (eind)gebruiker van het medische platform, welke dus via dat platform bij 1.5 miljoen credentials kon komen door de credentials van 1 persoon te stelen.

Dus door 1 login te stelen (niet helemaal duidelijk hoe) hebben ze vervolgens toegang tot 1.5 miljoen logins verkregen.

[Reactie gewijzigd door watercoolertje op 22 november 2024 12:57]

Superstoned @watercoolertje23 november 2024 08:39
Dat dat mogelijk is is toch wel een veiligheidsprobleem waar je een vrachtauto in kan parkeren... Niet echt geweldig design.
Storm-Fox 22 november 2024 13:17
In de VS hebben wij al gezien dat obscure proxy bedrijfjes deze medische gegevens downloaden/kopen
om dit vervolgens door te verkopen aan verzekerraars.
Eigenlijk is er dan sprake van heling van data maar de huidige wetten zijn niet toereikend genoeg om dit effectief aan te pakken. Medische gegevens kunnen immers makkelijk worden aangepast zodat het oogt als legaal. In principe moeten wij er van uitgaan dat ook deze zeer prive gevoelige data via een omweg bij
legitieme bedrijven en landen (lees China & Rusland) uitkomt en daar voor altijd bewaard blijft.
Mathijs Kok @Storm-Fox23 november 2024 12:01
In de VS hebben wij al gezien dat obscure proxy bedrijfjes deze medische gegevens downloaden/kopen
om dit vervolgens door te verkopen aan verzekerraars.
Dat voorbeeld ken ik niet en is onder de huidige Amerikaanse wet absoluur verboden. Heb je een link?
Sylvia 22 november 2024 18:50
Als ze deze lui te pakken krijgen mogen ze ze, wat mij betreft, in de diepste kerker opsluiten en de sleutel weggooien. Gewoon tuig van de richel zonder een greintje moraal en/of empatisch vermogen. Werkelijk 🤮😭
-Elmer- 22 november 2024 15:12
Volgens het bedrijf hebben de aanvallers geen kwetsbaarheid uitgebuit
Volgens mag dit bedrijf best eens naar de definitie kwetsbaarheid kijken. Één gebruiker die bij de gegevens van 1,5 miljoen patiënten kan én het ontbrekend van zaken als DLP die voorkomen dat zo'n account zoveel gegevens kan downloaden duidt volgens mij op een hele stapel kwetsbaarheden: onnodig veel permissies, slecht of niet uitgevoerd beleid waardoor het niet opvalt dat één account bij zoveel gegevens kan, onvoldoende monitoring van gebruik van permissies en ga maar zo door. Dit bedrijf is zo'n beetje de definitie van een kwetsbaarheid als je het mij vraagt.

[Reactie gewijzigd door -Elmer- op 22 november 2024 15:14]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq