VTM vertelt mij dat mijn wachtwoord op straat ligt. Dat is problematisch

Het wachtwoord van meer dan een half miljoen (!) Belgen is gelekt nadat hackers hebben ingebroken in Digitale Wachtkamer. Dat is een toepassing die patiënten gebruiken om online afspraken te regelen met hun arts.

Het is VTM Nieuws die de hack naar buiten bracht. Dat is problematisch, want ik had dat veel eerder moeten weten. Mijn wachtwoord ligt op straat en ik moet het horen van VTM. Digitale Wachtkamer laat het na om zelf zijn 550.000 gebruikers op de hoogte te brengen van het lek zodat die mensen zich onmiddellijk kunnen beschermen tegen digitale inbraakpogingen. Want die zullen er hoe dan ook komen. Digitale Wachtkamer had een e-mail moeten sturen naar al zijn gebruikers om te benadrukken hoe belangrijk het is om nú je wachtwoord te veranderen als je dat ook voor andere toepassingen gebruikt.

Dit is immers niet zomaar een datalek. De eigenaar van die toepassing heeft de wachtwoorden onversleuteld opgeslagen. Dat is oliedom. Dat wil zeggen dat ze zomaar zichtbaar zijn voor iedereen die toegang heeft tot de databank. En nu dus ook voor de hacker.

Normaal is de standaard om wachtwoorden te versleutelen en ze zo  onleesbaar te maken voor wie een wachtwoord onder ogen krijgt. Niemand heeft zaken met uw wachtwoord, zelfs niet de eigenaar van de software zelf. Het is nog erger dat een hacker nu toegang heeft tot die wachtwoorden, die bij heel wat Belgen gewoon hetzelfde zal zijn als dat van hun e-mailadres. Met dank aan een software-eigenaar die naliet om de basisregels voor de bescherming van wachtwoorden toe te passen.

Bedrijven houden zulke lekken maar al te graag stil uit vrees voor imagoschade. Maar nu zijn de persoonlijke gegevens van 550.000 Belgen in gevaar. Het bedrijf achter Digitale Wachtkamer heeft een klacht in gediend bij de Computer Crime Unit van de politie. En daarmee lijkt de kous af. Dat is belachelijk en zeer nalatig. Het bedrijf moet nu zijn verantwoordelijkheid nemen. En zelfs als het nu nog zijn gebruikers op de hoogte brengt, is dat eigenlijk te laat.

De overheid moet dringend werk maken van een vervroegde invoering van meldingsplicht (dat gebeurt op 25 mei 2018 sowieso, met dank aan de EU) zodat bedrijven dit soort grootschalige lekken moeten aangeven bij de privacycommissie. Het zou bedrijven ook moeten verplichten om wachtwoorden te versleutelen. Dit geval toont perfect aan hoe gevaarlijk het anders kan worden.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *