Inleiding
Een kritieke kwetsbaarheid in de patientportal van Practice by Numbers, de softwareleverancier die meer dan 5.000 tandartspraktijken in de Verenigde Staten ondersteunt, heeft onlangs geleid tot het ongeoorloofd inzien van persoonlijke medische dossiers. Het incident kwam aan het licht dankzij één bewuste gebruiker die de fout ontdekte en publiekelijk meldde.
Hoe de fout werkte
De bug maakte het mogelijk om via een simpele wijziging van een getal in de URL van een document, andere patiëntenbestanden te openen. Omdat de document‑identifiers opeenvolgend werden toegekend, konden kwaadwillenden of simpelweg nieuwsgierige gebruikers gemakkelijk raden welke nummers bij andere dossiers hoorden. Hierdoor waren zowel de inhoud als de foto‑ID’s, medische historie en contactgegevens van talloze patiënten in gevaar.
Rapportage en communicatieproblemen
De melder, Joseph R. Cox, probeerde eerst contact op te nemen met het bedrijf via een e‑mailadres dat op de website stond, maar kreeg geen reactie en ontdekte later dat het adres onbruikbaar was. Een tweede poging via LinkedIn aan een van de oprichters leverde eveneens geen antwoord op. Pas toen TechCrunch werd ingeschakeld, kreeg de leverancier een signaal.
Reactie van Practice by Numbers
Na de melding heeft het bedrijf de patientportal tijdelijk offline gehaald, de kwetsbaarheid verholpen en de dienst op 17 april weer beschikbaar gesteld. Co‑founder en CTO Chris Lau gaf aan dat minder dan tien patiënten werkelijk getroffen waren, gebaseerd op serverlog‑analyse. Het bedrijf werkt inmiddels samen met de betrokken tandartspraktijk om de mogelijk getroffen klanten te informeren.
Breder perspectief op beveiligingsmeldingen
Dit incident vormt een deel van een groeiende trend waarin eindgebruikers en beveiligingsonderzoekers fouten ontdekken, maar vaak geen duidelijk kanaal hebben om bedrijven te waarschuwen. Vergelijkbare gevallen bij retailers als Express en grote ketens als Home Depot laten zien dat het ontbreken van een gestructureerde “responsible disclosure” procedure kan leiden tot onnodige risico’s voor consumenten.
Conclusie
Hoewel de fout inmiddels is verholpen, onderstreept het voorval het belang van regelmatige security‑audits en een transparant meldingssysteem voor kwetsbaarheden. Voor zowel softwareontwikkelaars als hun klanten is het essentieel om proactief te handelen, zodat vertrouwelijke gezondheidsinformatie niet onnodig wordt blootgesteld.
