image

Website elektronisch patiëntendossier lek

donderdag 6 november 2008, 16:39 door Redactie, 15 reacties

De website waar de overheid de Nederlandse bevolking over het Elektronisch Patiënten Dossier inlicht, was enige tijd lek. Onderzoekers ontdekten dat het mogelijk was om cross-site scripting aanvallen uit te voeren. Via de zoekfunctie konden aanvallers uiteindelijk een script toevoegen dat op de computer van slachtoffers zou worden uitgevoerd.

Volgens Het Ministerie van Volksgezondheid, Welzijn en Sport hoeven mensen zich geen zorgen te maken dat hun medische gegevens risico lopen, aangezien die niet op de site staan. De kwetsbaarheid is inmiddels gedicht, toch zegt SP-kamerlid Arda Gerkens niet van het probleem gecharmeerd te zijn. "Juist bij het EPD mag de overheid geen fouten maken. Je moet laten zien dat het goed zit. Met het begin van deze campagne kun je dat niet stellen", zo laat ze tegenover Webwereld weten. Vanmiddag vindt er een spoeddebat over de afgelopen "marketingactie" van het ministerie plaats.

Reacties (15)
06-11-2008, 17:00 door SirDice
Volgens Het Ministerie van Volksgezondheid, Welzijn en Sport hoeven mensen zich geen zorgen te maken dat hun medische gegevens risico lopen, aangezien die niet op de site staan.
Wellicht niet op die voorlichtingssite, nee.. Maar wel op een andere? Als ze een informatieve site al niet eens fatsoenlijk kunnen beveiligen wil ik eigenlijk niet eens denken aan hoe slecht die andere dan in elkaar zal zitten.
06-11-2008, 17:11 door Anoniem
Volgens mij stond dit gisteren al vermeld in het commentaar van dit artikel:
http://www.security.nl/artikel/23924/1/Huisartsen_bezorgd_over_privacy_elektronisch_pati%C3%ABntendossier.html

Door AnoniemEhhhhhh:

http://www.infoepd.nl/informatiepunt_com/zoeken.php?zoek_op=%22%3E%3Cscript%3Ealert(%27CROSS SITE SCRIPTING%27)%3C%2Fscript%3E&zoek=Zoek

Do I need to say more????

Mijn info niet gezien in die crappy omgevingen....

Heb je hem daar gevonden Brenno?
06-11-2008, 17:16 door Anoniem
Die website zit nog steeds bagger vol met fouten. De organisatie achter de site lijkt geen benul te hebben van veiligheid. Dat is nu ook duidelijk door de manier waarop ze met persoonsgegevens om gaan:
Wie geen brief en bijbehorende formulieren over de bezwaarprocedure heeft ontvangen en alsnog zo'n pakket aanvragen. U mag 1x raden hoe veilig de persoonsgegevens die men daarvoor vraagt over het internet worden verzonden: plain text.

Als ze dat soort fouten al maken en daar niet eens op blijken te controleren of het verhelpen heb ik geen vertrouwen in het systeem, laat staan de organisatie achter het elektronisch dossier.
06-11-2008, 17:19 door Kahits
Door SirDiceAls ze een informatieve site al niet eens fatsoenlijk kunnen beveiligen wil ik eigenlijk niet eens denken aan hoe slecht die andere dan in elkaar zal zitten.

En zo is het maar net! Dit schept totaal geen vertrouwen.
06-11-2008, 17:25 door [Account Verwijderd]
[Verwijderd]
06-11-2008, 18:15 door Anoniem
Ik zei het toch als ze 255 miljoen kwijt maken heb ik het volste vertrouwen in de overheid.

Net of ze niet eens op hun portemonnee kunnen letten en dan willen ze ook nog dat je allerlei diensten afneemt.

Elk ander bedrijf zou je op basis van bovenstaande direct ad kant schuiven.

Maar ja bij de overheid heben we geen keus.


BEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEEtje krom allemaal.
06-11-2008, 18:21 door Anoniem
Nee, een lekker gaar SSL certificaat.

Bagger zooi.
06-11-2008, 19:06 door Anoniem
Iemand reageerde hier gisteren al over een XSS probleem. Maar 't lijkt me sterk dat die informatie-site gekoppeld is aan de uiteindelijke EPD database, zo bang word ik er niet van.
06-11-2008, 20:05 door Anoniem
Nog leuker.
Heeft iemand de betreffende documenten al doorgelezen.
Het bezwaar-document moet in blokletters ingevuld worden, omdat het automatisch verwerkt wordt. Anders is het niet leesbaar.
Tevens moet je er naast je BSN-nummer, ook je adres opgeven.
En als laatste een kopie van een geldig identiteitsbewijs bijvoegen.

Nu kan ik me nog herinneren dat de Overheid bezig is met een aantal zaken om de communicatie met de burger te versimpelen (grinnik), zoals:
- Digid als electronische handtekening (we gebruiken het al verplicht voor de belastingen, en de overheid wilde daar ook andere functies aan gaan koppelen)
- BSN, om de burger niet meer elke keer dezelfde gegevens te laten invullen, die de overheid al heeft.

Zo-wie-zo is het dom om iets op papier te laten invullen, en het dan weer te digitaliseren. Waarom niet meteen electronisch versturen. dat is in ieder geval sneller, simpeler en goedkoper.

Houden ze soms ook een papieren archief bij van alle correspondentie, of wordt het gewoon met het grofvuil buiten gezet na het scannen?

En als laatste de vraag waarom het weer eens een opt-out systeem moet zijn (waarbij de overheid van mij gegevens moet vastleggen dat ik niet mee wil spelen) i.p.v. een opt-in systeem.
06-11-2008, 22:28 door Anoniem
X-Powered-By: PHP/4.3.9

Zou dat back-ported zijn?....
06-11-2008, 22:36 door Anoniem
@Ministerie van Volksgezondheid, Welzijn en Sport; "Geen zorgen maken" ?!?!!!

"dat het mogelijk was om cross-site scripting aanvallen uit te voeren. Via de zoekfunctie konden aanvallers uiteindelijk een script toevoegen dat op de computer van slachtoffers zou worden uitgevoerd..... "

- Het was dus eventueel mogelijk dat alleen maar 'de klant' zijn systeem wat gecompromitteerd raakte..... (waar wel alle info en noch viel mehr te halen was... )
Waarom geen zorgen maken, was het lekje misschien (g)een 'achterdeurtje' voor 'een' 'Sectie stiekem' avontuurtje ? ;)

Have phun !
07-11-2008, 00:04 door Anoniem
Door AnoniemNog leuker.
Heeft iemand de betreffende documenten al doorgelezen.
Nee, want de uilskuikens bij het ministerie hebben wat fouten gemaakt bij het verzenden van de poststukken. Niet alle adressen zijn bijvoorbeeld aangeschreven. Hier is niets ontvangen, bij vrienden en familie zijn er meer van die gevallen.

Nu kan ik me nog herinneren dat de Overheid bezig is met een aantal zaken om de communicatie met de burger te versimpelen (grinnik), zoals:
- Digid als electronische handtekening (we gebruiken het al verplicht voor de belastingen, en de overheid wilde daar ook andere functies aan gaan koppelen)
- BSN, om de burger niet meer elke keer dezelfde gegevens te laten invullen, die de overheid al heeft.

Zo-wie-zo is het dom om iets op papier te laten invullen, en het dan weer te digitaliseren. Waarom niet meteen electronisch versturen. dat is in ieder geval sneller, simpeler en goedkoper.
Laten we maar hopen dat ze een beetje zelfkennis hebben en doorhadden dat dat technische te hoog gegrepen voor ze was om een digid systeem te gebruiken? Maar vrees dat er wat anders achter zit.

En als laatste de vraag waarom het weer eens een opt-out systeem moet zijn (waarbij de overheid van mij gegevens moet vastleggen dat ik niet mee wil spelen) i.p.v. een opt-in systeem.
Tellen we een paar opvallende zaken eens bij elkaar op:
- men stuurt geen burger een persoonlijke brief om dit te beslissen over dit zeer persoonlijke systeem maar slechts een brief naar adressen.
- men verkoopt het systeem als een roze wolk en komt niet met kritische kanttekeningen
- men geeft geen gelegenheid om op gemakkelijke of goedkope wijze buiten het systeem te blijven
- men past geen bestaande digitale systeem toe als digid om makkelijk en zeker bezwaar te kunnen maken
- zeer krappe deadline om bezwaar in te dienen
- men dringt een opt-out systeem op aan de houders van de gegevens terwijl die de zeggenschap zouden moeten hebben om te bepalen hoe er wel met hun gegevens hoort te worden omgegaan, in plaats van aan te geven hoe dat niet mag.
en ik vergeet zo nog wel wat zaken die het duidelijk maken dat er maar een doel is: het makkelijker en goedkoper maken voor de organisaties die van de gegevens gebruik maken, niet het belang van de houders van die gegevens voorop stellen.
07-11-2008, 09:04 door Arno Nimus
Door AnoniemEn als laatste de vraag waarom het weer eens een opt-out systeem moet zijn (waarbij de overheid van mij gegevens moet vastleggen dat ik niet mee wil spelen) i.p.v. een opt-in systeem.
Nog even in aanvulling hierop: Met het insturen van dat bezwaarformulier maak je bezwaar tegen het uitvloeisel van een wetsvoorstel dat nog door de Tweede Kamer behandeld moet worden. Het moet dus eerst nog door de TK, waardoor er dus nog allerhande aanpassingen gedaan kunnen worden. Vervolgens moet het ter goedkeuring naar de Eerste Kamer. Wanneer de EK geen fiat geeft komt het weer terug bij de TK, worden er nieuwe aanpassingen gedaan, wordt er in de TK opnieuw over gestemd, gaat het weer naar de EK waar het dan wel of geen goedkeuring krijgt. Net zo lang tot het rond is.

Dusse... Als je niet weet hoe de wet eruit gaat zien, hoe weet je dan wat het uitvloeisel zal zijn? Hoe kun je bezwaar maken tegen iets waarvan je niet weet wat het is?

Kortom, Ab Klink had die brief pas moeten versturen op het moment dat de wet erdoor (gedrukt) is.
07-11-2008, 13:18 door spatieman
coeltoer.
iek hebbe gesien ,datte iek viagra gebruike doe, main epd ies aangepast..
hm, laat maar..
EPD staat niet op de betreffende site, wie gelooft wordt zalig.
08-11-2008, 23:16 door Anoniem
==== INFOEPD.NL en INFOBSNZORG.NL ====
infoepd.nl en infobsnzorg.nl bevatten alleen publieksinformatie, dus geen drama als er wat kapot aan is, maar toch: de "Mijn informatiepunt"-pagina's zijn ook al niet helemaal jovel. Ze hebben de zoekfunctie gedicht, maar dit werkt nog steeds. Registreer jezelf via http://www.infoepd.nl/informatiepunt_com/registratie.php en gebruik dit als voorletters of achternaam:

<script>alert(document.cookie)</script>

...op elke pagina met welkomstboodschap "Welkom [naam]" wordt die code uitgevoerd. Ik weet niet of de naam ook ooit ongefilterd in de browser van andere gebruikers worden getoond, bijv. via discussiefuncties ofzo, of wellicht in de browser van infoepd.nl-medewerkers als ik via contact.php contact zoek.

Verwijderen van die accounts gaat zonder enige CAPTCHA of wachtwoordcontrole, dus een stukje auto-account-verwijder code is denkbaar voor de vandalen onder ons.

Die "wachtwoord vergeten" functie is ook al niet veel soeps: je kunt zonder pardon een nieuw wachtwoord laten opsturen naar andere accounts waarvan je (alleen) het e-mailadres weet. De gegenereerde wachtwoorden passen ook bij een subzero-beveiligingsniveau: 6 tekens, alleen hoofdletters en 0-9.

Uiteraard is al dit moois ook uitsluitend over plaintext verbinding (nergens SSL) en zonder compenserende maatregelen (zoals de challenge/response plaintext login op security.nl).

Nodeloos mezelf te herhalen, maar misschien past deze beveiliging gewoon wel bij deze websites: er valt niets te zien of te halen, dus niet al te streng beveiligen. Wel een beetje lullig voor beeldvorming.

==== NICTIZ.NL ====
Beetje jammer dat de zoekfunctie van NICTIZ ook nog XSS heeft:

https://www.nictiz.nl/?words=%22%3E%3Cscript%3Ealert%28document.cookie%29%3C%2Fscript%3E&method=and&matchesperpage=10&nav=zoek

...zeker omdat er op NICTIZ misschien wèl iets te halen valt achter de besloten (?) login.

Hier nog een SQL error:

https://www.nictiz.nl/?mid=3&pg='

Resultaat:
-- 8< --- 8< --- 8< --- 8< --- 8< --- 8< --- 8< ---
Error
The following error occured:
256: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' AND dossier_id = id ORDER BY ordr' at line 1 query:SELECT id, naam, body, body_type, file FROM dossier_item, lookup_pagina_dossier WHERE pagina_id = ' AND dossier_id = id ORDER BY ordr
in /usr/local/lib/php/WebPower/wpDb.php on line 346

Error
The following error occured:
256: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' AND dossier_id = id ORDER BY ordr' at line 1
in /usr/local/lib/php/WebPower/wpDb.php on line 147
-- 8< --- 8< --- 8< --- 8< --- 8< --- 8< --- 8< ---

Wederom vooral lullig voor beeldvorming.

De grootschalige medische IT-projecten in Nederland zijn ten minste fatsoenlijk openbaar, in tegenstelling tot bijvoorbeeld de draak die "OV-chipkaart" heet. Er is ontzettend veel technische documentatie beschikbaar, bijv. via bovengenoemde zwakbeveiligde websites, www.aortarelease.nl, www.uziregister.nl/technischesupport/specificaties/ enzovoorts. Nu nog iemand die ze allemaal gaat lezen :) Het klonen van een UZI-pas zou een leuk project zijn, misschien vooral interessant i.c.m. de "medewerkerspassen niet op naam".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.