20221214 - Jonathan Bouman - HAwebsso data leak

Ethisch hacker én huisarts Jonathan Bouman heeft een OWASP top10 web application security risk blootgelegd in de HAweb sso pagina. Een wat, waar? Hoe ging dat dan en wat kunnen we er van leren?

In het zeer lezenswaardige blog van Jonathan Bouman, Medical doctor / Web developer / Security researcher, schrijft hij over zijn onderzoek naar kwetsbaarheden op een website van de Nederlandse huisartsen. Als ethisch hacker met het ideale cv voor dit onderzoek, weet Jonathan bij uitstek hoe hij dit moet aanpakken én dat hij daar transparant verslag van moet doen: eerst naar de betrokken organisatie(s) en wanneer kwetsbaarheden zijn verholpen, naar de geïnteresseerde community.

Ja, er bleek sprake van een datalek, maar waarschijnlijk slechts met een beperkte impact. Namen met onleesbaar versleutelde wachtwoorden leveren geen inbreuk op vertrouwelijkheid, data integriteit of beschikbaarheid voor de toepassing. Maar het betrof wel een zg. eenmalig inloggen-toepassing (SSO), zodat de impact op het vertrouwen in de SSO-omgeving en de aanbieder mogelijk  wel groot is. Maar er is snel en adequaat gereageerd, dus dat valt hopelijk mee.

In het blog van Jonathan staan verschillende lessen die uit deze casus kunnen worden getrokken. Los van de gebruikte onderzoekstechnieken, breng ik een aantal van deze informatiebeveiligingsmaatregelen (controls) hier onder de aandacht:

• add the responsible disclosure policy on every online asset:
  geef ethische hackers de kans om je drempelloos te informeren over je (online) kwetsbaarheden
• A good protection against data leaks like these are dual factor authentication(2FA):
  een oproep die ik standaard voor alle HIS-sen en in alle huisartsenpraktijken doe - overigens is dit een wettelijke verplichting (NEN7510) vanuit het Besluit elektronische gegevensuitwisseling door zorgaanbieders (Begz)

• As we will see today, no certification will stop you from getting hacked. However that does not mean we should not do this. Every structured way of improving security is something worth to implement:
  een oproep die ik van harte ondersteun - neemt u hierover gerust contact met mij op.

Over het laatste aandachtspunt het volgende: een serieuze implementatie (ook zonder certificatie) van NEN7510 schenkt aandacht aan A.14 System acquisition, development and maintenance en A15: Leveranciersrelaties. En een serieuze leverancier van software/web development services is bekend met ISO27001:2022 - A8.27 - A8.30 (veilige systeem ontwikkeling: dit betekent o.a. technische uitgangspunten, code reviews, pen-testen). En in deze mag de OWASP Top10 en pen-testen van iedere online applicatie release niet ontbreken.