×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste nieuwssite, beste prijsvergelijker en beste community! Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers en maak kans op mooie prijzen!

Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

OM: verdachte aangehouden voor 'hacken' Groene Hart Ziekenhuis

Door , 58 reacties

Het Openbaar Ministerie meldt dat het een 26-jarige man uit Nieuwerkerk aan den IJssel heeft aangehouden. Hij zou betrokken zijn geweest bij een 'digitale inbraak' in computersystemen van het Groene Hart Ziekenhuis. Op de servers stonden gevoelige patiŽntgegevens.

In oktober werd bekend dat een hacker toegang had tot patiëntgegevens van het Groene Hart Ziekenhuis uit Gouda. De data stond opgeslagen op een publiek toegankelijke server. Op het systeem zouden tientallen medische dossiers zijn te vinden. In de dossiers waren onder andere behandelplannen, recepten en diagnoses te vinden. Het zou gaan om gegevens van meer dan 493.000 personen.

Het OM meldt dat het team High Tech Crime van het KLPD een onderzoek is gestart na publicaties in de media over de zaak. Dinsdag heeft het Openbaar Ministerie bekendgemaakt dat het een 26-jarige man uit Nieuwerkerk aan den IJssel heeft gearresteerd. Hij zou betrokken zijn geweest bij de hack op de server van het Groene Hart Ziekenhuis. Volgens het Openbaar Ministerie heeft de hacker een 'grote hoeveelheid patiëntgegevens uit het systeem weggenomen'. Tegenover Nu.nl gaf de hacker destijds aan dat hij alle opgehaalde gegevens gewist zou hebben nadat het verhaal naar buiten was gekomen.

Door Dimitri Reijerman

Redacteur

27-11-2012 • 14:06

58 Linkedin Google+

Reacties (58)

Wijzig sortering
Van het artikel van nu.nl heb ik begrepen dat hij via FTP de server kon binnen komen door het root ww te bruteforcen.
Dan zijn er toch een aantal vragen die me onmiddellijk boven komen:
- Waarom kun je op afstand inloggen met 'root' (was dit ook werkelijk zo?)
- Waarom staan de bestanden op een server die vanaf internet bereikbaar is?
- Waarom zijn de bestanden niet versleuteld? (Ik heb het nadrukkelijk over bestandsencryptie, niet over diskencryptie)
- Waarom lijkt het erop dat er geen password/lockout-policy was? Na 3 Š 5 foutieve inlogpogingen het account blokkeren is een minimale ingreep die brute forcen aanzienlijk bemoeilijkt...

Ik blijf het ronduit belachelijk vinden dat er anno 2012 nog steeds mensen op posities zitten waarbij zij een ernstig gevaar voor de privacy c.q. (digitale) beveiliging zijn!
Voor de kick kan ik je vertellen.
Althans dat wat het vroeger bij mij, wat waar en hoe ik het hackte didnt mather....
Nou ja, thuisverbindingen is sneu dus dat deden we niet.
Meestal alleen hosting bedrijven en lekker lannen daar, maar wat je bij een ziekenhuis zoekt ?


Vraag is alleen, was dit een specifieke hack naar het ziekenhuis, of zat daar een IT-er die zijn zaakjes niet op orde heeft en de hacker geluk heeft door op dat moment net even te koekeloeren.
Vind het bij een toeval hack namelijk al stukken minder erg, als een doelgerichte hack --> dan komen er nog meer aan namelijk
De dief keek even verder dan zijn neus lang was, sloeg het raam in en ging aan de haal met de autoradio, ga je nu ook beweren dat de eigenaar maar een gepantserde wagen moest kopen en in een beveiligde garage zetten, dan ging dit namelijk niet gebeurd zijn ...

Is geen persoonlijke aanval, echt niet, was gewoon even een bedenking na het lezen van een aantal reacties in die toon.

In het originele artikel staat trouwens ook dit: "Het wachtwoord van de beheerder, 'groen2000', is zeer voorspelbaar."
Er zat dus wel degelijk een paswoord op wat al genoeg is om duidelijk te maken dat het niet de bedoeling is dat iedereen hier toegang tot heeft. Feit blijft nog steeds dat hier sprake is van een ernstig probleem als je dit op een ftp zet (al dan niet met een simpel pw, ftp is gewoon lek en gebruik je niet voor zo'n info). Zeker omdat in 2011 reeds een onvoldoende gegeven was voor IT-beveiliging door de Inspectie voor de Volksgezondheid.

Daar komt ook bij dat het niet netjes is (mogelijks) dat de hacker dit meldt aan de media ipv eerst het betreffende bedrijf te contacteren. Vind hier echter niets van terug als dit al of niet gebeurd is dus kan er niet op oordelen.
Hier kan men uiteraard de vraag stellen of het ziekenhuis er enige aandacht aan zou gegeven hebben indien dit niet in de media kwam...

edit: klein stukje toegevoegd die ik vergeten was

[Reactie gewijzigd door Pure_evil op 27 november 2012 18:22]

dit is nederland, in plaats van de beheerders aan te pakken of zelf als overheid het boetekleed aan te trekken word de klokkeluider vervolgd en het liefst alles zo snel mogelijk vergeten tot het volgende "incident".

toendertijd werd het epd ons opgedrongen en van alles beloofd en ondanks dat niemand er vertrouwen in had werd het door de strot gedrukt, een tijdke geleden komt er naar buiten dat het inderdaad zoals verwacht slecht opgeslagen was en makkelijk toegang tot de gegevens was en wat gebeurt er ?
degene die het aan het licht brengt word vervolgd en vervolgens gebeurt er niets.

hoeveel krijgen de slachtoffers ter compensatie van het ziekenhuis voor het slecht beveiligen van die gevoelige data ?
wat is er gebeurt met de systeembeheerders ? (of in ieder geval degene verantwoordelijk voor deze slechte beveiliging)
worden er nu ook bij andere ziekenhuizen gecontroleerd op beveiligingslekken of zijn die nog gewoon toegankelijk voor iedereen ?

hij heeft een probleem getoond en ik ben geen fan van het lekken/kopieren van prive informatie maar anders is het anders lastig te bewijzen dat je ook daadwerkelijk toegang had.
ik zou het wel netter vinden de data zo te censureren dat er alleen vergeleken kan worden en geen informatie uitgehaald kan worden (bijv. uit elke reeks het 1e teken. naam geb. datum. verzekeringnr. = mj12)
en natuurlijk altijd een wifi hotspot gebruiken voor je eigen privacy ;)
Ok, maar in deze gaat het er dus om dat in overleg met Nu.nl een hack naar buiten is gebracht
die door 'Bonnie' gedaan is, Fox-IT heeft aangekaart dat het betreurt dat dit gebeurd is en een
betere beveiliging beloofd? Of is het daarna NOGMAALS gehacked? Indien dat het geval is dan.....
:9
Daarnaast vind ik het altijd grappig dat ze wel weten dat er data is meegenomen. Hoe? Of is het echt zo dat het ziekenhuis zijn IT zaken zo slecht op orde heeft, wel een database read loging bij houdt? Vreemd.
Met netwerkmonitoring kom je een heel eind, maar vergeet als het om een database gaat (staat trouwens niet in het artikel) de transactie-log niet.
Finally: ik weet inderdaad niet wie ze beter op kunnen pakken. Zo'n huis-tuin-en-keuken hackertje of architect van het systeem zelf.
Met dat laatste heb ik fundamenteel problemen. Geen enkele beveiliging is onfeilbaar; kraken kost alleen maar tijd, brute-forcen of het vinden van een exploit, een zwakke plek in een systeem of de software, et voila. Wil je dan iedereen die aan een systeem werkt aanklagen als het ergens in de tijd misgaat? De architect, ontwerper, coder, de hardwareboer of zelfs de installateur? Wanneer dat namelijk het geval is kan iedereen in de IT-sector wel stoppen met werken :) En het grootste beveiligingsrisico is nog altijd de mens zelf!

Maar om antwoord te geven op de laatste vraag:
Wat mij betreft deze hacker. Hij had voldoende bewijs voor toegang kunnen verzamelen met een aantal screenshots, eventueel nog een onschadelijk testbestand of record toevoegen op de server/db. Vervolgens zelf of via intermediair contact opnemen met het ziekenhuis.
De huidige niet centrale patientendossiers zijn daar net zo gevoelig voor. Maar i.t.t. het landelijk EPD waar wel dit soort zaken meegenomen worden (in de vorm van een audit trail) is er geen haan die er naar kraait.

Ik snap ook niet dat mensen denken dat zolang er geen EPD is er geen gevaar is dat je gegevens in de verkeerde handen komen, alsof ziekenhuizen en je huisarts nog gewoon met papieren dossiers werken. Dat is eeuwen geleden al gedigitaliseerd.

Een goed voorbeeld: mijn tandarts. Die heeft gewoon als PHP hobbyist zijn eigen patentiendossier webapp gemaakt. Wie vertrouw je meer met gevoelige gegevens? Een integrator die tenminste wat kaas heeft gegeten van beveiliging of je eigen arts die een beetje heeft zitten hobbyen?
Er is geen verzekeringsmaatschappij die deze gegevens zou gebruiken. Je moet dan gaan uitleggen om welke grond je mensen uitsluit en het zal al snel uitkomen. De bestuursleden zitten dan snel jaren in het gevang.

Als je echt denkt dat de verzekeraars in Nederland zo corrupt zijn heb je echter een groter probleem dan het uitzoeken van een verkering.
"hacker" deed het om de publicteit. zie b.v. http://webwereld.nl/nieuw...nden-pati-ntgegevens.html Het is niet zo dat het groene hart ondekte dat ze gehackt weren, nee een "hacker"maakte het bekend.

Die deed dat uiteraard voor de bekendheid, zonder werkelijk bekend te willen worden omdat klokkenluiders hier opgeknoopt worden.
Maar helaas is het EPD ook zo lek als een mandje, veel mensen hadden te veel toegang en was te gevoelig voor social engineering. Dit is een van de redenen dat het ook nooit volledig is ingevoerd.
Waarschijnlijk gaat het om een bron van Brenno de Winter, die onder naam van "het Nederlands Genootschap van Hackende Huisvrouwen" opereert. Je kan je, in mijn opinie, afvragen of dit niet gewoon een klokkenluider is, als de hacker de waarheid heeft gesproken althans.


@Tijger
Op een gegeven moment moet je toch bekijken of iets het melden waard is. Zo doet Tweakers dat ook wel eens, dan wordt er data gedownload om te kunnen verifiŽren of het persoonsgebonden informatie is. Tweakers kan altijd onder de journalistieke vleugel opereren, maar misschien is dat in dit geval ook wel gewoon journalistiek te noemen, aangezien het direct in samenwerking met Nu.nl tot stand is gekomen en gemeld is aan het Groene Hart Ziekenhuis.
Dit vind ik altijd een moeilijk vraagstuk.
Voor mij hoeven klokkeluiders of hackers die slechte beveiliging aantonen niet vervolgd te worden.
Maar van de andere kant, moeten we dan ook maar gewoon er op vertrouwen, dat een hacker of klokkeluider zelf niets met die data heeft gedaan? En dat hij/zij eventuele gedownloade data (als bewijs) op zijn systemen ook heeft vernietigd?

Als dat niet duidelijk is, dan kan ik me weldegelijk voorstellen dat er een onderzoek wordt opgestart door het OM, gebaseerd op een aangifte van de gehackte instantie.
Juridisch is het dan beter voor de hacker om als verdachte aan te worden gemerkt, en niet als getuige of iets anders.
Ja en wat is nu waarheid? Dit artikel spreekt die uitleg nogal tegen en het steekt me eerlijk gezegd een beetje dat er zo'n verschil tussen zit.
Daarnaast verwacht ik van tweakers.net eerder betrouwbare info aangaande cybersecurity dan van Nu.nl, maar dat kan natuurlijk aan mij liggen.

Ben het helemaal met je eens verder hoor, maar vind deze twee artikelen wel ver uit elkaar liggen; gegevens op een openbare server of het brute forcen van een ftp-pass. Daarnaast lijkt de uitleg van het OM wat vreemd, want met weggenomen gegevens impliceer je toch dat ze na de hack niet meer aanwezig waren.
Als dat inderdaad het geval is, dan zou dat wel terug te vinden moeten zijn in logs lijkt me. Het zou in ieder geval niet slim van de hacker geweest zijn..
En de definitie van hacken, cracken eigenlijk, is toegang toekennen tot iets waar je niet voor geautoriseerd bent. Dus publiekelijk of niet, het blijft gewoon cracken.
Publiek of niet is precies het verschil. Bij publieke toegang is er geen spraken van autorisatie - en dus breek je niet in. Als het wachtwoord 1234 is, dan is er wel sprake van autorisatie. Als je dan het makkelijke wachtwoord via brute-force of anderszins achterhaald en jezelf toegang verschaft tot het systeem is het wel strafbaar.
Er worden daar dus ook geen logs of activity monitors bijgehouden? Als de FTP server wordt ge-bruteforced zou het in de logs moeten verschijnen. Desalniettemin is dit wel een vorm van hacking, maar zouden de beheerder i.m.o. ook ondervraagd moeten worden, als je dit niet bijhoud in in ziekenhuis.. dan vraag ik me toch af of je ook maar iets om informatiebeveiliging geeft.
uhm ja, daarom wilde men ook landelijk het EPD invoeren.
Ik meen me te herinneren dat hacken het niet geauthoriseerd toegang verkrijgen is.
Terwijl cracken deze illegaal verschafde informatie misbruiken is.
(kaping, ransom, verkopen e.d.)

Het leek mij overigens ook al dat het niet openbaar was maar wel extern bereikbaar.

Hoe dan ook een slecht idee van die gast.
als hacker valt er wel degelijk geld te verdienen, veelal als "legale" hacker in dienst van een bedrijf om de beveiliging te testen zodat dit soort dingen niet voorkomen, stond gisteren of vandaag nog een artikel over in de metro/spits.
Dat zei de persoon die ze ingehuurd hadden voor 0 euro ook.
Geld valt er zeker wel mee te verdienen. Voor verzekeraars kan deze informatie veel geld waard zijn...
Inderdaad. Dit soort gegevens mag gewoon niet op een server staan die staat aangesloten op het internet.

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*