Zweeds softwarebedrijf krijgt boete wegens groot datalek door SQL-injection

In dit artikel:

Het Zweedse softwarebedrijf SportAdmin is door de Zweedse privacytoezichthouder IMY beboet nadat een omvangrijk datalek via SQL-injection leidde tot de publicatie van gegevens van ruim twee miljoen mensen. Bij de gestolen data zaten namen, contactgegevens, bsn‑nummers, sportactiviteiten en clublidmaatschappen; in sommige gevallen ook gezondheids- en andere bijzondere persoonsgegevens van kinderen en jongeren. De inbraak vond plaats begin vorig jaar.

IMY stelt dat een codewijziging in 2022 — waarbij een zogenoemde “speciale variabele” werd toegevoegd — onvoldoende werd beschermd tegen SQL-injection. Daardoor konden aanvallers SQL-opdrachten uitvoeren. De impact werd versterkt doordat de SQL-gebruiker en de Windows‑account die de SQL‑serverservice draaiden meer rechten hadden dan nodig (onder meer vanwege compatibiliteit met een ouder systeem) en de server externe programmabestanden zoals PowerShell toestond. SportAdmin was volgens IMY al bekend met bepaalde kwetsbaarheden, maar de getroffen technische en organisatorische maatregelen waren ontoereikend: er ontbraken procedures om tekortkomingen te signaleren en realtime detectie van inbraakpogingen.

IMY concludeert dat SportAdmin hiermee Artikel 32 van de AVG heeft overtreden en legde een boete op van circa €566.000. SQL‑injection is een bekende maar aanhoudende dreiging die vaak voorkomt door onveilige programmacode en onvoldoende controle van applicaties; betere beveiliging en monitoring had de aanval mogelijk kunnen voorkomen of beperken.