Door middel van een IDOR-kwetsbaarheid was het mogelijk om de inloggegevens van 15.000 Nederlandse huisartsen in handen te krijgen, zo ontdekte huisarts en beveiligingsonderzoeker Jonathan Bouman. Het beveiligingslek in HaWeb SSO was drie, en mogelijk vijf, jaar lang in de code aanwezig. HaWebSSO is een single-sign-ondienst waarmee huisartsen toegang tot verschillende applicaties van het Nederlandse Huisartsen Genootschap (NHG) en de Landelijke Huisartsen Vereniging (LHV) kunnen krijgen.

SSO (single-sign-on) is een authenticatiemethode waarbij gebruikers door middel van één set inloggegevens toegang tot meerdere diensten of applicaties kunnen krijgen. Dit heeft als grote voordeel dat gebruikers geen verschillende inloggegevens hoeven te onthouden of beheren. Het nadeel is dat als een aanvaller deze ene set inloggegevens in handen krijgt, hij ook toegang tot alle toepassingen heeft.

Bouman ontdekte een onbeveiligde API endpoint van HAwebSSO.nl waar hij gegevens van willekeurige gebruikers kon opvragen, ook zonder enige authenticatie. Het endpoint bleek niet goed te controleren dat wie om de gegevens vroeg ook degene is van wie de gegevens zijn. Zo was het mogelijk om e-mailadres, volledige naam, wachtwoordhash en lidmaatschapsgegevens van meer dan vijftienduizend huisartsen op te vragen.

Dit wordt ook wel een IDOR-kwetsbaarheid genoemd. IDOR staat voor Insecure direct object references. Dit soort beveiligingslekken doet zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor. Bouman informeerde de LHV waarna het probleem binnen 48 uur werd verholpen. Op basis van loggegevens stelt de LHV dat er geen aanwijzingen van misbruik in de laatste twee jaar zijn gevonden.

De LHV en het NHG laten tegenover Medisch Contact weten dat alle huisartsen via de HAweb-omgeving over het datalek zijn ingelicht en zijn gevraagd om hun wachtwoord te wijzigen. Daarnaast is het datalek gemeld bij de Autoriteit Persoonsgegevens.