Datalek: Zorgnet Limburg lekt prive gegevens
- 26 september 2011
Bits of Freedom heeft haar Zwartboek Datalekken alweer uitgebreid. De website van Zorgnet Limburg lekte gevoelige persoonsgegevens. Een hacker liet zien dat het burgerservicenummer, de mate van arbeidsongeschiktheid, de adresgegevens en CV’s van duizenden studenten openlijk toegankelijk waren.
Dit was mogelijk door een SQL-injectielek. Bij een SQL-injectielek wordt de invoer van de gebruiker, zoals het paginanummer of een zoekterm, onvoldoende gecontroleerd. De gebruiker kan daardoor extra opdrachten aan de databank achter de website geven. Op die manier wordt informatie toegankelijk die dat anders niet is en werden in dit geval de gegevens van duizenden mensen zijn gelekt.
De website is een onderdeel van Zorg aan Zet Limburg dat arbeidsmarktprojecten in de provincie uitvoert, waarbij zowel werk als opleiding aan bod komen.In een reactie laat Zorg aan Zet weten dat zij de website hebben uitgezet en overleg hebben gehad met bouwer ervan.
Bits of Freedom houdt een Zwartboek Datalekken bij om aandacht te vragen voor een groeiend probleem: er wordt steeds meer informatie over ons opgeslagen, en het risico dat de verantwoordelijke de controle over de informatie verliest groeit daarmee ook. Bits of Freedom heeft tegelijkertijd een tekstvoorstel voor een wetsartikel geschreven dat beheerders van databanken verplicht om datalekken direct te melden. Zij heeft dat tekstvoorstel toegelicht in een position paper (PDF) (HTML).