Privégevens GGD-website gelekt

Een Nederlands lid van Anonymous, een hackercollectief, heeft op vrij simpele wijze toegang gekregen tot 136 databases met gevoelige informatie. Informatie op minimaal 48 websites van onder andere de GGD is hiermee vrijgekomen. Volgens Anonymous was dit alles in één keer te kraken omdat alle informatie op één server stond. Met een eenvoudige SQL-injectie is de toegang tot de databases verkregen.

Webwereld legt de hack als volgt uit:

Een SQL-injectie kan misbruikt worden als gebruikersinvoer niet wordt gecheckt op ongewenste code. Door een SQL-commando in te voeren in een invulveld zoals die voor een gebruikersnaam, kunnen alle commando’s uitgevoerd worden. Hacker S3nse1 kwam zo de databases van onder andere huiselijkgeweldutrecht.nl, ggd-flevoland.nl en ggdzhz.nl binnen, laat hij in een e-mail aan Webwereld weten.

De aanvaller kon toegang krijgen tot de databases door een ernstig lek in cBase2, het cms dat door al deze websites gebruikt wordt. Volgens de anonieme hacker zat het grote lek al geruime tijd in het cms. Vanwege de gevoeligheid van de gegevens besloot hij deze niet, zoals de laatste tijd gebruikelijk lijkt, op straat te gooien. In plaats daarvan heeft de hacker de maker van het cms geïnformeerd.

Het probleem is inmiddels opgelost door websitebouwer Orangehill. De software zou een beperkte cms zijn en bovendien sterk verouderd.

De hakker S3nse1 heeft Webwereld in een mail laten weten de privacy-gevoelige informatie niet op straat te gooien. “We proberen mensen in te laten zien dat niet alles veilig kan zijn”, aldus S3nse1.

cc-foto: Thiago Fazzio