Ethisch hacker en huisarts Jonathan Bouman ontdekte onlangs een ernstige kwetsbaarheid in HaWeb SSO. Door dit lek was het mogelijk om wachtwoordhashes van meer dan 15.000 Nederlandse huisartsen op te vragen. Zodoende had Bouman toegang tot diverse applicaties van het Nederlandse Huisartsen Genootschap (NHG) en de Landelijke Huisartsen Vereniging (LHV). Het lek werd binnen 48 uur verholpen.
In een blog beschrijft de ethische hacker en huisarts hoe de kwetsbaarheid in zijn werk ging (1).
Bouman stuitte op het lek toen hij op de website van de LHV bestudeerde welke subdomeinen er waren en hoe de login-procedures werkten. Hij ontdekte dat de meeste applicaties gebruikmaakten van Single Sign-On (SSO). Dat is een authenticatiemethode waarbij je met één set inloggegevens toegang krijgt tot meerdere diensten.
Voordeel van SSO is dat je niet meerdere wachtwoorden hoeft te onthouden. Tevens kan deze beveiligingsstandaard geïntegreerd worden met andere beveiligingsmethoden, zoals multifactorauthenticatie. Zo is het mogelijk om met weinig moeite een extra beveiligingslaag aan te brengen bij meerdere applicaties.
Keerzijde van SSO is dat als een onbevoegd iemand erin slaagt in te loggen, hij toegang heeft tot de data die wordt opgeslagen in diverse applicaties. Hackers kunnen dan de hand leggen op een schat aan informatie. Het is daarom belangrijk dat een lek in een SSO-dienst zo snel mogelijk wordt gedicht zodra deze aan het licht komt.
De ethische hacker en huisarts ontdekte een IDOR-kwetsbaarheid in HaWeb SSO. ‘IDOR’ staat voor Insecure Direct Object References. Er is sprake van een IDOR-lek als een webapplicatie of API een identifier gebruikt om een object in een database op te vragen zonder authenticatie of andere vorm van toegangscontrole.
Simpel gezegd: door een paar cijfers of letters in de adresbalk aan te passen als je bent ingelogd, krijg je toegang tot het account van een andere gebruiker. Je hoeft dan geen gebruikersnaam en wachtwoord op te geven.
De website Infectieradar.nl, waar mensen in het begin van de coronapandemie wekelijks een vragenlijst over hun gezondheid konden invullen, kampte aanvankelijk met een IDOR-kwetsbaarheid. Ook de retailketen van familiebedrijf Blokker weet uit eigen ervaring wat voor narigheid zo’n lek met zich meebrengt.
“Ik zag iets in de broncode en klikte verder om te zien of de beveiliging van de website in orde was”, zo schrijft Bouman in zijn blog. Hij ontdekte een onbeveiligde API endpoint van hawebsso.nl. Die konden systeembeheerders gebruiken om de rollen van een gebruiker op te vragen. Het endpoint bleek niet in staat om de identiteit van de gebruiker te verifiëren.
Bouman vroeg de ID-gegevens van acht huisartsen op. Zo kon hij aantonen dat het lek toegang gaf tot de gegevens van andere leden. Door het ID-nummer in de adresbalk aan te passen, had de ethische hacker toegang tot namen, e-mailadressen, BIG-nummers, lidmaatschapsnummer en versleutelde wachtwoorden. “Ik heb niet geprobeerd om toegang te krijgen tot de gegevens van alle huisartsen”, zo zegt Bouman.
De LHV vertelt tegenover Medisch Contact dat de vereniging blij is dat Bouman de kwetsbaarheid heeft ontdekt (2). “Het is fijn dat het gevonden is door een ethisch hacker, die met goede bedoelingen naar onze systemen heeft gekeken. We waren van plan om in 2023 de veiligheid van de website door te lichten, dat is nu iets eerder gebeurd”, aldus een woordvoerder.
Het lek is gemeld bij de Autoriteit Persoonsgegevens. De kwetsbaarheid bestond volgens Bouman zo’n drie jaar. Hij raadt zijn collega’s aan om hun account met tweestapsverificatie te beschermen en hetzelfde wachtwoord niet voor meerdere websites te gebruiken.
https://medium.com/@jonathanbouman/unprotected-api-endpoint-at-hawebsso-nl-5f1951e212fe
https://www.medischcontact.nl/nieuws/laatste-nieuws/nieuwsartikel/ethisch-hacker-vindt-datalek-bij-lhv-en-nhg.htm
