Website EPD was wél beetje lek

Gisteren las ik het op security.nl in een reactie op dit artikel, en ik twijfelde of ik het hier moest posten. Maar het lek is al gemeld en weer gedicht. De website www.infoepd.nl, waar patiënten, zorgverleners en o.a. leveranciers over het EPD worden geïnformeerd, bleek een zogenaamd XSS-lek te hebben. Met XSS oftewel cross-site-scripting is het mogelijk stukjes code (zoals Javascript) in een website te stoppen. Via de zoekfunctie van de site kon door een eenvoudige aanpassing code aan de website worden toegevoegd. Heel gevaarlijk? Niet direct. Via de website kun je niet bij het EPD komen of iets dergelijks, dat valt mee. Er “lekt” niets weg. Maar in theorie is het met dit foutje wel mogelijk om inloggegevens te “kapen”. Niet echt goede reclame voor zo’n website, maar het probleem is alweer opgelost… Doorlopen mensen… nothing to see here.

Email this to someoneShare on Facebook0Tweet about this on TwitterShare on Google+0Share on LinkedIn0