image

Lek in tandartssoftware opent patiëntendatabase voor aanvaller

woensdag 7 september 2016, 13:15 door Redactie, 4 reacties

Een systeem dat tandartsen gebruiken voor het beheren van patiëntgegevens bevat een ernstig beveiligingslek waardoor aanvallers op afstand toegang tot vertrouwelijke data kunnen krijgen. Het probleem speelt in de Open Dental-software, zo meldt het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit nadat het door beveiligingsonderzoeker Justin Shafer was getipt.

De tandartssoftware blijkt een vast wachtwoord voor de databasetoegang te bevatten. Een aanvaller die dit wachtwoord weet kan op afstand inloggen en zo beheerderstoegang tot de patiëntendatabase krijgen. Tandartsen krijgen van het CERT/CC het advies om het MySQL-databasewachtwoord te veranderen zodat het standaardwachtwoord niet meer werkt. Een andere oplossing is het uitrollen van een firewall om zo alleen betrouwbare hosts en netwerken toegang te geven. Open Dental wordt ook aan Nederlandse tandartsen aangeboden.

Reacties (4)
07-09-2016, 13:52 door Blondie
Ik had hier denk ik als kop gebruikt:

"Gaatje in tandartssoftware opent patiëntendatabase voor aanvaller" :-@
07-09-2016, 18:48 door karma4
"Open dental software" de verwoording zegt al ... open. Een standaard wachtwoord van een MySQL database, wat waren ook als weer de meest voorkomende blunders. (OWASP). Dat het aangeboden wordt ja open software, belangrijker is de vraag hoeveel en waar/door wie het gebruikt wordt.

Justin Shafer bekende naam van http://arstechnica.com/security/2016/05/armed-fbi-agents-raid-home-of-researcher-who-found-unsecured-patent-data/ Hoe zou dat met die zaak afgelopen zijn? Een bekende leverancier die de kritiek op zo'n manier monddood wil maken.
08-09-2016, 16:02 door ph-cofi
Wie kent nog: "sys/change_on_install" en "system/manager" als out of the box credentials?
Elke software die zich in gebruik laat nemen zonder de standaard waardes te hebben gewijzigd, faalt.

De MySQL installaties die ik heb gedaan (prive), verlangen overigens een root wachtwoord van me tijdens installatie: 1 punt voor MySQL op dit gebied.
09-09-2016, 22:07 door ph-cofi
Correctie op mijn post: er is dus meer aan de hand dan alleen een standaard wachtwoord volgens de CERT beschrijving uit dit artikel. Maar... wat is dat met die tandartssoftware? Dexis heeft hard-coded credentials ingebouwd:
http://www.kb.cert.org/vuls/id/282991
Als inkoper van medische software moet je onverwachte IT skills hebben...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.