Inloggegevens 15.000 Nederlandse huisartsen gelekt via IDOR-kwetsbaarheid
Door middel van een IDOR-kwetsbaarheid was het mogelijk om de inloggegevens van 15.000 Nederlandse huisartsen in handen te krijgen, zo ontdekte huisarts en beveiligingsonderzoeker Jonathan Bouman. Het beveiligingslek in HaWeb SSO was drie, en mogelijk vijf, jaar lang in de code aanwezig. HaWebSSO is een single-sign-ondienst waarmee huisartsen toegang tot verschillende applicaties van het Nederlandse Huisartsen Genootschap (NHG) en de Landelijke Huisartsen Vereniging (LHV) kunnen krijgen.
SSO (single-sign-on) is een authenticatiemethode waarbij gebruikers door middel van één set inloggegevens toegang tot meerdere diensten of applicaties kunnen krijgen. Dit heeft als grote voordeel dat gebruikers geen verschillende inloggegevens hoeven te onthouden of beheren. Het nadeel is dat als een aanvaller deze ene set inloggegevens in handen krijgt, hij ook toegang tot alle toepassingen heeft.
Bouman ontdekte een onbeveiligde API endpoint van HAwebSSO.nl waar hij gegevens van willekeurige gebruikers kon opvragen, ook zonder enige authenticatie. Het endpoint bleek niet goed te controleren dat wie om de gegevens vroeg ook degene is van wie de gegevens zijn. Zo was het mogelijk om e-mailadres, volledige naam, wachtwoordhash en lidmaatschapsgegevens van meer dan vijftienduizend huisartsen op te vragen.
Dit wordt ook wel een IDOR-kwetsbaarheid genoemd. IDOR staat voor Insecure direct object references. Dit soort beveiligingslekken doet zich voor wanneer een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole. Ondanks de eenvoud van IDOR-kwetsbaarheden komen die nog altijd geregeld voor. Bouman informeerde de LHV waarna het probleem binnen 48 uur werd verholpen. Op basis van loggegevens stelt de LHV dat er geen aanwijzingen van misbruik in de laatste twee jaar zijn gevonden.
De LHV en het NHG laten tegenover Medisch Contact weten dat alle huisartsen via de HAweb-omgeving over het datalek zijn ingelicht en zijn gevraagd om hun wachtwoord te wijzigen. Daarnaast is het datalek gemeld bij de Autoriteit Persoonsgegevens.
We now showed that a specific endpoint leaks the user details, however does it require authentication. Could one hit this endpoint while not being logged in? Open the same endpoint in incognito mode of the browser. No cookies are set, I’m not logged in. All user details are returned. The answer is yes. This endpoint does not require any login.
Je moet een HAweb account hebben, is allemaal te lezen als je maar even doorklikt.
Ga jij maar de politiek in, en niet de techniek .
Dan pas je goed bij al die fractie "specialisten" die denken dat "encryptie" een oplossing is voor alle beveiligingsproblemen.
De vorige generatie riep altijd "moet achter de firewall" als universele diagnose/oplossing voor ieder beveilingsprobleem.
Deze roept "meer encryptie" .
Ga jij maar de politiek in, en niet de techniek .
Dan pas je goed bij al die fractie "specialisten" die denken dat "encryptie" een oplossing is voor alle beveiligingsproblemen.
De vorige generatie riep altijd "moet achter de firewall" als universele diagnose/oplossing voor ieder beveilingsprobleem.
Deze roept "meer encryptie" .
Wellicht is de Smart Block Cloud™ een oplossing?
Dat gebeurt met auto's ook trouwens. Ik zag laatst ergens een filmpje waarin verteld werd dat in Amerika als er een onveiligheid in een auto zat men probeerde met alle mogelijke middelen de eigenaar te bewegen die auto naar een dealer te krijgen om dit gratis op te lossen. Het was voorgekomen dat er meer dan 100 brieven, telefoontjes en e-mails aan besteed waren om een eigenaar naar de dealer te krijgen, zonder succes, en ze zich vervolgens doodreden (door dat probleem).
Dus dat "van de weg afhalen" valt nogal tegen, er zijn altijd mensen die gewoon "niks willen" en "niks willen horen", die kom je hier op het forum ook veel tegen...
Dit tegen de privacywet in, en ze kunnen een boete krijgen,.
Die hadden dr schijt aan.
Net zoals de grootste verzekeringsfirma van nederland die zonder backups of antivirus draaide.
Ga jij maar de politiek in, en niet de techniek .
Dan pas je goed bij al die fractie "specialisten" die denken dat "encryptie" een oplossing is voor alle beveiligingsproblemen.
De vorige generatie riep altijd "moet achter de firewall" als universele diagnose/oplossing voor ieder beveilingsprobleem.
Deze roept "meer encryptie" .
Wellicht is de Smart Block Cloud™ een oplossing?
Leuk gedacht, maar de beste opslag dat is lokale opslag op papier. Moet je dan maar een keer alle data proberen te hacken. Dat lukt je gewoon niet
Ga jij maar de politiek in, en niet de techniek .
Dan pas je goed bij al die fractie "specialisten" die denken dat "encryptie" een oplossing is voor alle beveiligingsproblemen.
De vorige generatie riep altijd "moet achter de firewall" als universele diagnose/oplossing voor ieder beveilingsprobleem.
Deze roept "meer encryptie" .
Wellicht is de Smart Block Cloud™ een oplossing?
Leuk gedacht, maar de beste opslag dat is lokale opslag op papier. Moet je dan maar een keer alle data proberen te hacken. Dat lukt je gewoon niet
Zoiets noemen ze "inbreken" en gebeurt gemiddeld meer dan 100 keer per dag. Het klopt dat mensen in Nieuw-Zeeland dat niet makkelijk doen bij een huisartsenpost in Nederland, maar ook papier kent nadelen, waar diefstal er slechts 1 van is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.