Update

SQL-injectie legt medische gegevens bloot: maar wat is dat?

Het grootschalige datalek dat het programma Zembla zegt te hebben blootgelegd, behelst een zogenoemde SQL-injectie. Dat is een methode die heel vaak door hackers wordt toegepast, omdat het zo gemakkelijk is. Wie een webbrowser en een beetje verstand van computers heeft, kan zo'n aanval al uitvoeren.

Voorbeeld van een SQL-database Beeld Thinkstock
Voorbeeld van een SQL-databaseBeeld Thinkstock

Zembla is het lek naar eigen zeggen op het spoor gekomen door tips van meerdere kijkers die reageerden op een eerdere uitzending over verzuimbedrijven. Zonder zelf in de systemen te gaan zitten rommelen, konden zij al zien dat de gebruikte databases niet veilig genoeg waren, aldus de programmamakers. Het gaat dan ook om een veelgebruikte hackersmethode.

LulzSec
SQL-aanvallen zijn het afgelopen jaar veelvuldig in het nieuws geweest. We kennen ze vooral van de hackersgroep LulzSec, die onder meer verantwoordelijk wordt gehouden voor een reeks cyberaanvallen op Amerikaanse instellingen waaronder de Amerikaanse inlichtingendienst CIA, de Amerikaanse Senaat en het Japanse elektronicabedrijf Sony. Alleen al bij die laatste inbraak zou een simpel SQL-foutje volgens de hackers hebben geleid tot ruim een miljoen blootgelegde gebruikerswachtwoorden.

Maar niet alleen LulzSec doet aan SQL-injecties. Sterker: uit een onderzoek dat databasebeveiligingsbedrijf Imperva vorig jaar uitvoerde, komt naar voren dat veel webapplicaties honderden tot soms wel duizenden keren per dag bestookt worden met SQL-aanvallen. Het overgrote deel van die aanvallen berokkent geen schade, maar soms heeft een hacker beet, en dan kunnen de gevolgen groot zijn. De websites van Nokia en Lady Gaga behoren tot de bekende sites die hierover mee kunnen praten.

Programmeertaal
SQL (Structured Query Language) is simpel gezegd een soort programmeertaal die het mogelijk maakt om databases met korte, simpele opdrachten op te vragen. Het werd aanvankelijk ontwikkeld voor mensen die bij de overheid of bijvoorbeeld in de zorg of het onderwijs werken, en die bevoegd zijn om persoonsgegevens op te vragen. Maar al snel bleek deze standaardtaal toch net iets te ingewikkeld voor mensen die niet technisch onderlegd zijn. Daarom wordt SQL tegenwoordig altijd toegepast met de tussenkomst van een applicatie.

Bij een SQL-injectie (ook wel SQLi genoemd) wordt een database die van SQL gebruik maakt, gehacked, door er met behulp van een willekeurige internetbrowser allerlei verschillende zoekopdrachten op los te laten. Soms herkent de SQL-database zo'n zoekopdracht ten onrechte als een legitieme vraag van een gebruiker, en dan heeft de hacker beet. Soms kan zo de hele database blootgelegd worden.

Humannet
Zembla bericht over een lek in de software 'Humannet' van IT-bedrijf VCD, dat medische en persoonlijke gegevens van ongeveer 300.000 werknemers zou hebben blootgelegd. FC Twente, de gemeente Deventer, Praxis, Bijenkorf en V&D zijn enkele van de bedrijven die van het systeem gebruik maken. Of er ook daadwerkelijk misbruik van gegevens is gemaakt, is niet duidelijk. Het zou gaan om 'het grootste medische lek ooit'.

VCD is een gerenommeerd bedrijf op het gebied van dit soort programma's. 'Het bedrijf reageerde aanvankelijk heel arrogant, toen we ze lieten weten dat we ze iets belangrijks wilden vertellen,' aldus programmamaker Ton van der Ham vanmorgen op Radio 1. 'We moesten maar een brief sturen. Toen we bij ze langs gingen, stuurden ze de politie op ons af in plaats van naar ons te luisteren. Uiteindelijk zijn ze toch naar de studio gekomen.'

VCD zegt de zwakke plekken in het systeem inmiddels te hebben gedicht, maar kan niet uitsluiten dat er een geslaagde aanval heeft plaatsgevonden. Ook Humannet zegt inmiddels maatregelen te hebben genomen. Alle wachtwoorden zijn gereset en daarnaast zijn er extra beveiligingssystemen geïnstalleerd. Het bedrijf heeft ook aangifte gedaan van inbraak in het systeem.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden