Aktivist: SQL-injection blotlagde borgeres recepter

En sårbarhed på udbredt lægesystem blotlagde ifølge "internet-aktivist" Torben Andersen privatpersoners recepter. Det er på trods af, at der på hjemmesiden indtil for nyligt blev reklameret med "sikkerhed på bankniveau".

»GangLions database rummer informationer om patienter fra 200 lægehuse i Danmark. Og databasen er pivåben. Hvis du keder dig, kunne du sikkert selv finde databasen på Google.«

Det skrev Torben Andersen - der selv kalder sig internetaktivist - i en opdatering på Facebook, som sidenhen har vagt stor opmærksomhed. Ikke mindst fordi han slutter statusopdateringen af med at skrive »jeg siger ikke, at X [politikernavn som vi har udeladt, red.] har fået en recept på [medicintype, som vi har udeladt, red.] i perioden 2006-2011.«

Der er ifølge Torben Andersen tale om en sårbarhed, som kunne udnyttes med en SQL-injection hvor man kunne indtaste parametre i input-felter, og derved få bekræftet, at der var tale om en sårbarhed.

Derudover tilføjer han, at den database, som med sikkerhed har stået åben, er den, hvor man kan tilgå receptjournaler. Han påpeger dog også, at han ikke har set nogen oplysninger, blot, at det var muligt.

»Sikkerhed på bankniveau«

Aver & Lauritzen står for leveringen af adskillige systemer til lægeklinikker, heriblandt til recept- og patientjournaler og til kommunikation mellem patient og læge. På trods af det, kunne noget tyde på, at sikkerheden ikke har været den højeste prioritet på de systemer, som bliver leveret af it-firmaet Aver & Lauritzen.

Et screenshot fra marts viser, at deres side GangWeb, hvor patienter og læger kan kommunikere med hinanden, ikke havde en https-sikring. Det er på trods af, at recepter, cpr-numre, adresser osv. kommunikeres gennem dette system.

Tilbage i marts reklamerede virksomheden dog også med, at de kunne tilbyde »sikkerhed på bankniveau«.

Denne beskrivelse er nu fjernet fra hjemmmesiden. Sidenhen har de fået implementeret https-sikring på GangWeb. Dog er GangLion i øjeblikket ikke mulig at tilgå.

Der gik heller ikke længe, før der blev sendt en pressemeddelelse ud.

Heri skriver Aver & Lauritsen, at »såfremt den påståede hacking har fundet sted, drejer det sig i givet fald om oplysningerne i den borgernære database.

Altså borgeres tidsanmodninger, receptanmodninger og e-mailkonsultationer. Vi analyserer vores databaser, men vi har ikke umiddelbart gjort fund, der kan bekræfte påstanden fra Facebook-opslaget,« skriver de i pressemeddelelsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk

Følg forløbet

Kommentarer (6)

Kommentarer (6)
Christian Bruun

"Vi analyserer vores databaser, men vi har ikke umiddelbart gjort fund, der kan bekræfte påstanden fra Facebook-opslaget"

De ved hvilken patient det drejer sig om, så det burde da ikke være så svært at tilbagevise at der er foretaget uautoriserede opslag på hende.

Men på den anden side burde de have udtalt: "Ingen kommentarer". Det er "et læk" på et enkelt kendt individ. Af åbenlyse årsager vil de aldrig kunne bekræftige lækket, og deres kommentar på sagen vil derfor til hver en tid være "her er intet læk", og så kan de efterfølgende diskutere et evt. læk hemmeligt med relevante myndigheder.

Derfor forstår jeg på ingen måde deres latterlige kommentar. Nu lader de en snert af tvivl blive tilbage, og politikeren (hvis navn er offentliggjort på bl.a. EB), skal forsvare sig selv.

Michael Cederberg

Vi ved ikke hvad der er sket og om der rent faktisk er et hul, men såfremt Torben Andersen taler sandt (og det er der ingen grund til at have mistillid til ham i denne sag), så er Aver & Lauritsen en flok amatører. Det er de nu nok alligevel - set i lyset af http problemet fra marts måned.

Jeg glæder mig til GDPR træder i kraft – så bliver den slags virksomheder potentielt ramt hårdt på pengepungen. Typisk vil virksomheder forsøge at forsikre sig mod den slags – faktisk burde det være et lovkrav til virksomheder der håndterer personfølsomme oplysninger at de forsikrer sig mod GDPR overtrædelser.

Man kan så håbe på at forsikringsselskaberne vil kræve at en ekstern revisor der kigger på sikkerheden i IT systemerne. For hvis jeg var forsikringsselskab, så ville jeg ikke stole på virksomhedens forsikringer om at alt er i skønneste orden.

Hvis det sker, så tror jeg vi kan få bedre styr på IT sikkerhed i private virksomheder. Så mangler vi bare at der kommer styr på offentlig IT sikkerhed …

Log ind eller opret en konto for at skrive kommentarer

Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 10:29

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017