Abonneer je gratis op Techzine!

Fox-IT heeft in opdracht van de makers van Humannet en VCD IT Groep een onderzoek uitgevoerd naar kwetsbaarheden op de websites die afgelopen week vatbaar bleken te zijn voor SQL-aanvallen waardoor medische gegevens maandenlang toegankelijk waren. Hieruit bleek dat hackers de mogelijkheid hadden het beheer van de server over te nemen.

Zembla heeft na de onthulling van afgelopen zaterdag dat het dankzij SQL-aanvallen medische gegevens van ruim 300.000 werknemers, waaronder die van FC Twente, Praxis, de Bijenkorf en Vroom & Dreesman, kinderlijk eenvoudig bekeken konden worden, opnieuw vertrouwelijke documenten in handen gekregen. Het gaat om een onderzoek van beveiligingsbedrijf Fox-IT dat in opdracht van VCD is uitgevoerd. Zo blijkt dat de sites humannetstarter.nl en humannetverzuim.nl zeer gevoelig zijn voor een flink aantal kwetsbaarheden. Zo staat het uitvoeren van code op de server gemarkeerd als een zeer hoog risico. Ook konden de hackers cross-site scripting en SQL-injecties uitvoeren.

VCD IT Groep bleek daarnaast gedeelde wachtwoorden te gebruiken voor meerdere databases en ook de omgang met gebruikersnamen en wachtwoorden was niet veilig. Bij sessiecookies ontbraken de secureflag en HttpOnly-flag en gaf de webserver gedetailleerde informatie vrij. Naar aanleiding van de bevindingen van Fox-IT zijn de lekken per 20 april opgelost.