Digitalewachtkamer.be in 2013 al gewaarschuwd voor slechte beveiliging

19/07/17 om 17:14 - Bijgewerkt om 17:11

Bron: Datanews

Het lek waarmee een hacker wachtwoorden van een half miljoen Belgische patiënten kon stelen is opgelost. Maar de site werd jaren geleden al gewezen op lakse veiligheid zoals het niet versleutelen van wachtwoorden.

Digitalewachtkamer.be in 2013 al gewaarschuwd voor slechte beveiliging

. © .

VTM Nieuws meldde gisteren dat een hacker namen, wachtwoorden en telefoonnummers van patiënten bemachtigde via digitalewachtkamer.be, een platform dat veel huisartsen gebruiken om hun afspraken online vast te leggen. Maar het lijkt er op dat het systeem zelf enkele tekortkomingen vertoont.

"Het lek zelf is een tiental dagen geleden opgelost," zegt Ronny Paesen, de man achter Digitalewachtkamer.be aan Data News. "De tool is toen even offline gegaan om aanpassingen uit te voeren. De hacker zelf had ons in de week ervoor gecontacteerd."

De hacker heeft de gegevens van honderdduizenden Belgische patiënten die ooit een afspraak hebben gemaakt bij hun huisarts via Digitale Wachtkamer. Het gaat om hun naam, het moment van de afspraak, het wachtwoord dat ze voor die account hebben opgegeven, maar in veel gevallen ook om telefoonnummers, adressen en eventuele commentaar die ze daarbij hebben achtergelaten.

Versleuteld of niet?

Dat die gegevens zomaar kunnen gelezen worden kan er op wijzen dat de data onversleuteld werd opgeslagen, iets wat al jaren expliciet wordt afgeraden door beveiligingsexperts. Paesen zelf ontkent dat: "De wachtwoorden in de database zaten wel degelijk geëncrypteerd in de database. Maar op een of andere manier heeft de hacker die kunnen ontcijferen."

Moderne encryptietechnieken

Dat lijkt een plausibele uitleg, maar houdt niet helemaal steek rekening houdend met hoe je vandaag een online database hoort te beveiligen. De eenvoudigste manier om een wachtwoordendatabase te versleutelen is door er zelf een wachtwoord over te zetten, maar wie dat kan raden heeft meteen ook toegang.

Een betere aanpak is om de opgeslagen wachtwoorden te hashen. Dan worden ze via een algoritme omgezet in allerlei tekens die niet meer te ontcijferen zijn. Je kan op dat moment het wachtwoord niet meer uit de database lezen, maar enkel nagaan of een ingegeven wachtwoord overeenkomt met de hash-waarde in de database.

In 2013 al gewaarschuwd

Als de gegevens effectief versleuteld waren, dan lijkt het er op dat het om zeer zwakke of verouderde beveiliging gaat. Maar intussen is ook bekend dat wanneer je je wachtwoord vergat, Digitale Wachtkamer dit ook als platte tekst verstuurde naar je emailadres. Dat is gemakkelijk, maar toont aan dat de wachtwoorden zonder hashing werden bewaard, wat ze bij diefstal makkelijk te lezen of ontcijferen maakt.

Digitale Wachtkamer was daar ook van op de hoogte. Zo laat internetondernemer Jeroen Ceyssens weten dat hij in 2013 de site al waarschuwde dat het doorsturen van wachtwoorden als platte tekst ernstige veiligheidsrisico's inhield. Ceyssens meldde ook een ander veiligheidsprobleem, dat werd destijds even later wel aangepast.

Wie vandaag via het platform zijn wachtwoord vergeet, krijgt automatisch een nieuw wachtwoord maar ook dat wordt momenteel als platte tekst verzonden. "Dat gaan we binnenkort ook veranderen," belooft Paesen.

Onze partners