Softwarelek gaf toegang tot Belgische röntgenfoto's en patiëntgegevens

Het Belgische bedrijf Dobcomed kampte met een beveiligingslek waarmee het mogelijk was om röntgenfoto's en patiëntgegevens van willekeurige patiënten in te zien. Het bedrijf heeft het lek binnen een uur na de melding van Tweakers weten te verhelpen.

De tip was afkomstig van een oplettende Tweaker uit België, die na een bezoek aan een röntgenafdeling een code meekreeg om thuis zijn foto's te kunnen bekijken. Met deze code en zijn geboortedatum kon hij op het Pacsonweb-systeem van Dobcomed inloggen. Toen hij echter een aantal elementen op de pagina inspecteerde met de ingebouwde functie van zijn browser, kwam hij erachter dat de foto's een unieke url hadden.

Door enkele waarden in deze url aan te passen was het vervolgens mogelijk om foto's van anderen in te zienEen gebruiker moest daarvoor wel eerst toegang hebben gehad tot het systeem om de url te verkrijgen. Hierbij ging het alleen om foto's, zonder andere identificerende gegevens. Een andere functionaliteit van het systeem is dat men volledige zip-bestanden kan downloaden met meerdere foto's en aanvullende gegevens, waaronder het behandelende ziekenhuis en naam en geslacht van de patiënt. Ook deze zip-bestanden waren door het aanpassen van de url op te vragen. Het is niet duidelijk hoeveel bestanden daardoor uiteindelijk toegankelijk waren.

Na verificatie van het lek heeft Tweakers contact opgenomen met Dobcomed. Het bedrijf heeft het lek bevestigd en snel gedicht: binnen een uur na het eerste contact was het opgelost. Het bedrijf geeft aan dat naar aanleiding van een intern onderzoek is gebleken dat de onbevoegde toegang was beperkt tot zes interacties, waarschijnlijk van de tipgever.

Ook stelt Dobcomed dat er een week voor de notificatie van Tweakers een beveiligingsonderzoek heeft plaatsgevonden en dat het uitvoerende bedrijf heeft bevestigd dat het lek daarbij naar boven zou zijn gekomen. De Pacsonweb-applicatie wordt volgens Dobcomed in meer dan tachtig röntgenafdelingen in België gebruikt. Het bedrijf heeft ervoor gekozen zijn klanten, inclusief niet getroffen ziekenhuizen, over het lek in te lichten.

België kent geen meldplicht datalekken zoals Nederland, enkel bedrijven in de telecomsector zijn verplicht een lek te rapporteren aan de CBPL. Er is echter wel een leidraad beschikbaar voor bedrijven, die alsnog een datalek willen melden. Met de invoering van een Europese meldplicht met de algemene privacyverordening zal er ook in België een algemene meldplicht gelden.

Author: Ronver Systems

Copyright © 2012 Ronver Systems | sitemap | site by MoonWorks