Beveiligingsonderzoeker Nelson Berg ontdekte het lek in het afsprakensysteem van de afdeling Mondziekten, Kaak- en Aangezichtschirurgie.
"Ik ging een afspraak maken om mijn verstandskies te laten trekken. Een half uur later zat ik in de database", zegt hij tegen NU.nl. Berg vond eerder grote lekken in de systemen van de Universiteit van Amsterdam, Hogeschool van Amsterdam en de kamerverhuursite Kamernet.
De afsprakensite van het AMC werd beheerd door een apart bedrijf. In de getroffen database stonden namen, post- en e-mailadressen, burgerservicenummers, verzekeringsgegevens, contactgegevens van huis- en tandartsen en de reden waarom mensen een afspraak wilden maken. Dat zijn bijzondere persoonsgegevens onder de Nederlandse wet, en bedrijven zijn verplicht om zulke data extra goed te bewaken.
Excuses
Het AMC heeft de getroffen patiënten per e-mail geïnformeerd over de hack. "Dit had nooit mogen gebeuren", schrijft het ziekenhuis. "We vinden het zeer vervelend en bieden u er onze oprechte excuses voor aan."
Een woordvoerder zegt dat het bewuste afsprakensysteem niet op andere afdelingen in gebruik was. De kwetsbare pagina is direct offline gehaald toen de melding van Berg binnenkwam. Afspraken moeten nu telefonisch worden gemaakt.
Het AMC heeft alle externe sites die het ziekenhuis gebruikt laten controleren en daar geen verdere beveiligingslekken aangetroffen. Het lek is gemeld bij de Autoriteit Persoonsgegevens, zoals wettelijk verplicht is.
Rode vlag
In de e-mail aan patiënten schrijft het AMC dat er geen reden is om te denken dat kwaadwillenden toegang hebben gehad tot de database, maar de woordvoerder kon niet zeggen of er logbestanden werden bijgehouden waarin te zien is wie toegang had.
Volgens Berg was het voor technisch vaardige mensen makkelijk om te zien dat er iets mis was met de afsprakensite, omdat er een beveiligingswaarschuwing zichtbaar was in de browser. "Je zou denken dat ze die rode vlag 'hack mij' eruit zouden halen. Ik was er niet eens naar op zoek, ik wilde gewoon mijn verstandskies laten verwijderen."
De gebruikte software was bij nog drie andere bedrijven in gebruik die volgens Berg minder gevoelige gegevens verwerken. Ook bij deze bedrijven is het lek gemeld.