Op deze weblog hebben we eerder bericht over het enorme lek in OpenSSL, genaamd Heartbleed. Door een fout in de code van OpenSSL was het voor kwaadwillenden mogelijk om wachtwoorden te onderscheppen. Er was al lange tijd een proof of concept van de kwetsbaarheid, maar concrete verhalen over hacks met behulp van Heartbleed waren er tot op heden nog niet. Vandaag werd echter bekend dat Chinese hackers het Heartbleed lek gebruikt hebben om gevoelige persoonsgegevens van 4,5 miljoen patiënten van Community Health Systems te stelen.
Een interessante vraag is natuurlijk: is Community Health Systems hiervoor aansprakelijk? Dat hangt in mijn ogen van de vraag wanneer de hack precies heeft plaatsgevonden. Achteraf gezien waren de systemen van CHS altijd al lek. Maar totdat de kwetsbaarheid bekend gemaakt werd, komt dat naar mijn mening niet voor rekening van CHS. Heeft de hack echter plaatsgevonden nadat de kwetsbaarheid aan het licht kwam, en heeft CHS er te lang over gedaan om haar systemen te patchen, dan is CHS, of althans haar leverancier, waarschijnlijk wel aansprakelijk.
Ook het DigiNotar-vonnis van vorige week illustreert dat bekend zijn met kwetsbaarheden in de beveiliging van je IT-systeem en vervolgens op je handen zitten kan leiden tot aansprakelijkheid.
