Digitale wachtkamer laat slachtoffers van hack al ruim 2 weken in de wachtkamer

Vandaag werd bekend dat ‘Digitale Wachtkamer’ — een platform om online een afspraak te maken bij je huisarts — gehackt werd en dat gegevens van een half miljoen gebruikers gestolen zijn. Het gaat om wachtwoorden, e-mailadressen, telefoonnummers en de reden van de consultatie (indien ingevuld).

bron: hln.be

Beveiliging van wachtwoorden

Dat de ontwikkelaars van Digitale Wachtkamer het niet te nauw nemen met security staat vast. In 2013 al werden ze door Jeroen Ceyssens op de hoogte gebracht dat de manier waarop ze wachtwoorden opsloegen in de database (plain-text) onveilig is.

Vandaag heb ik zelf mijn wachtwoord gereset. Iedereen die een account heeft raad ik aan om hetzelfde te doen. Wat blijkt nu, ze genereren automatisch een wachtwoord maar mailen dat nog steeds in plain-text. Het heeft er dus alle schijn van dat ze wachtwoorden nog steeds onbeveiligd in de database opslaan. Dit wordt zowel door de hacker als een andere bron bevestigd.

Data breach disclosure

Het lijkt wel een trend te zijn tegenwoordig. Websites die er niet in slagen om de gegevens van hun gebruikers voldoende te beveiligen en hun gebruikers op een eerlijke manier in te lichten over de gegevensdiefstal. Digitale Wachtkamer blijkt bovendien al minstens 2 weken op de hoogte te zijn van de gegevens inbreuk, maar tot op heden is het complete radiostilte. Op hun website is geen enkele melding terug te vinden en zelf heb ik ook nog steeds geen e-mail ontvangen.

Hopelijk kan GDPR, de Global Data Protection Regulation, die in mei 2018 in werking treedt, hier paal en perk aan stellen. Een firma die onder de GDPR regulering valt (en dit is voor Digitale Wachtkamer het geval), zal dan moeten zorgen dat persoonlijke gegevens van gebruikers voldoende beveiligd worden en bovendien een zogenaamde ‘responsible disclosure’ doen in het geval ze gehackt worden. Dit betekent dat de betrokkenen binnen de 72 uren op de hoogte gebracht moeten worden. Iets waarin Digitale Wachtkamer dus absoluut niet geslaagd is. Wordt vervolgd?

John Opdenakker

John Opdenakker

Blogger | #Infosec | #AppSec | Security awareness | Occasional Public Speaker | Cycling | Running | Enjoying life