Groot datalek bij 170 Duitse online apotheken ontdekt. Bijzondere persoonsgegevens miljoenen klanten waren zichtbaar
Meer dan 170 Duitse online apotheken, waaronder Apotal en Sanicare, hebben volgens de Duitse omroepen NDR en WDR sinds februari te maken gehad met een ernstig beveiligingsprobleem. Gevoelige medische gegevens van miljoenen klanten waren eenvoudig toegankelijk.
IT-expert Dominik Herrmann van de Universiteit van Bamberg spreekt van een “beginnersfout” in de programmering van de software.
Alle getroffen Duitse apotheken maken gebruik van dezelfde webwinkelsoftware van Awinta, een bedrijf dat naar eigen zeggen marktleider is voor apotheeksoftware en reclame maakt met de slogan dat vertrouwen het beste medicijn is.
Op de website van Awinta poseert een medewerker op een foto met oorkondes die werden afgegeven vanwege de goede beveiliging van de websites. “Danke für ihr Vertrauen”, staat erbij. Bedankt voor uw vertrouwen.
Journalisten van NDR en WDR onderzochten in samenwerking met de universiteit in Bamberg hoe veilig online apotheken zijn. Ze ontdekten dat persoonlijke gegevens zoals het rekeningnummer, adres of een overzicht van de bestelde medicijnen heel eenvoudig toegankelijk waren.
Bij de online apotheken die gebruik maken van de Awinta software was het mogelijk om de zogenaamde serverstatus op te roepen. Daardoor worden alle lopende processen op de site zichtbaar.
In een volgende stap zou het mogelijk zijn geweest om tijdens het surfen in de winkel over de schouder van de klant te kijken, legt Dominik Herrmann van de Universiteit van Bamberg uit in een reportage op de Duitse tv.
“Zo’n aanval is relatief eenvoudig. Elke IT-student kan een programma maken dat automatisch de informatie van klanten leest”, zegt Herrmann.
De universiteit maakte bij het onderzoek gebruik van software van de website PrivacyScore.org. Deze site is door universiteiten ontwikkeld om websites te controleren op veelvoorkomende problemen op het gebied van gegevensbescherming en beveiliging. Er wordt onder meer een pentest – penetratietest – gedaan.
In februari werd een lijst met alle internetadressen van Duitse apotheken ingevoerd op PrivacyScore.org. Uit de technische analyse bleek dat een opvallend groot aantal websites hetzelfde beveiligingsprobleem had.
Herrmann zegt in het Duitse magazine Spiegel dat het lek voor de betrokken apotheken een “ramp” is.
“Medische gegevens en gegevens over medicatiebestellingen behoren tot de meest kritische gegevens die bedrijven kunnen verwerken. Zo adverteert de Sanicare-website onder het motto “Vertrouwen is het beste medicijn”.
Voormalig toezichthouder Peter Schaar van de Duitse Autoriteit Persoonsgegevens noemt de veiligheidskloof een ernstig incident. “Dit zijn zeer gevoelige gegevens die in bijzonder goed beschermd moeten worden op grond van de privacywetgeving.”
De apotheken en de leverancier van de software hebben nog geluk dat het lek ontdekt is voordat de nieuwe Europese privacywet GDPR van kracht is geworden. De nieuwe wet voorziet in boetes tot 4 procent van de wereldwijde jaaromzet van de apotheken.
Overigens zijn de boetes die in Duitsland worden ook onder oude privacywetgeving al torenhoog.
In een interview met Tagesschau.de heeft Awinta toegegeven dat er een probleem was: de oorzaak was achterhaald en de fout was hersteld, volgens een verklaring, en er is ook sprake van een “handmatige foutconfiguratie”.