Is het wifi netwerk van mijn nieuwe tandarts onveilig?

Hoi,

Ik heb sinds kort een nieuwe tandarts, toen ik daar laatst binnenliep voor een afspraak en wat tijd moest doden omdat de medewerkster aan de telefoon zat viel me op dat ze wifi hadden achter een fantastisch tandarts gerelateerd wachtwoordje. Nou had ik net een weekje ervoor fing gedownload en ik dacht, laat ik eens kijken.

Ik ben zelf van de software developen, en voor netwerkzaken kijk ik altijd mijn beheerders lief aan, maar ik dacht ik probeer zelf een en ander. Nou heb ik begrepen dat fing met ARP scannen werkt (en wat ARP dan weer is heb ik me nog niet enorm in verdiept) maar dit zegt nog niet heel veel over eventuele veiligheid.

Wat me wel daarna opviel was dat ik elk gedeteceerd apparaat op het netwerk, waaronder een enkele server, kon gaan scannen op open ports. En volgens mij betekent dat dat ik verbinding kan maken met de desbetreffende machines. De eerste server die ik probeerde had meteen de SQL Server port open staan.

Hier ben ik dan maar gestopt, maar voor zover ik me kan herinneren is SQL Server niet enorm veilig als applicatie an sich.

Zie ik spoken of moet ik mijn tandarts voorzichtig vertellen dat ie de wifi misschien gewoon dicht wilt gooien voor patiënten, niet alsof iemand daar nou echt per sé wifi nodig heeft. Of is dit niet genoeg info om echt te zeggen dat het niet degelijk is?

Ja ik weet dan niet zeker of dat ook daadwerkelijk gebruikt wordt, weet niet of dat uberhaupt standaard open staat ook al staat er geen SQL Server op oid, daar weet ik te weinig van af.

Maar als ik het dus goed begrijp, op het moment dat Fing mij kan vertellen welke porten wel/niet open staan, dan is het al niet zo denderend, toch?

Ze gebruiken blijkbaar wel een takkeoud programma, de jonge arts die er nog niet zo lang werkte schaamde zich er volgens mij enigszins voor.....

jongetje schreef op dinsdag 9 november 2021 @ 22:13:
[...]

Ik denk dat juist tandartsen prima meelopen omdat die kleinschalig zijn en het zelf in de hand hebben.

Wat zei je tandarts toen je het vertelde?

Degene die ik had was niet de baas, maar zou het doorgeven zei die, moet helaas terug vanwege mijn eerste gaatje, zal kijken of het dan nog steeds open staat.

Ik heb hier nooit meer de conclusie gepost zie ik net, wil men dit toch niet onthouden.
Gedurende een jaar of 2 heb ik bij 3 aparte bezoeken gemeld dat ik nog steeds het een en ander kon zien op het netwerk. Ik ben de eerste keer teruggebeld door hun netwerkbeheerder die mij vertelde dat alles gewoon in orde was.
Bij mijn 2de bezoek was het allemaal nog steeds zichtbaar, zal wel, dacht ik toen, niets gemeld.
Bij mijn 3de bezoek nog steeds, ik heb toen op hun printer iets afgeprint, ze zouden er nog een keer naar kijken, niets meer gehoord.
Bij mijn 4de bezoek, 1,5 jaar na de eerste melding, zag ik nog steeds alles staan.

Port scan gedaan op een machine die server in de naam had. Stond een port op open die bij een bepaald protocol hoorde (ik ben die naam ondertussen helaas vergeten, was een soort ftp protocol). Appje gedownload die daarmee overweg zou kunnen, gepoogd te verbinden. Wat standaard usernames/wachtwoorden geprobeerd, maar helaas, kwam er niet in. Toen viel mijn oog op het vinkje ''anonymous login''. Nou, ja graag.

En ik was binnen. Kort gebrowsed door wat folders, mijn doel was nog steeds duidelijk maken dat dit niet veilig was en ze er iets mee moesten doen, ik wist niet zeker hoe ver ik kon gaan en wat daarbij slim was. Vrij snel kwam ik in een mapje met allemaal namen, voorletter + achternaam als folder naam. Mijn eigen folder opgezocht, mijn eigen rontgenfotos gedownload. Website gevonden die die bestanden kon openen, en toen bij de balie gevraagd of ze het nou eindelijk eens een keer serieus wilde nemen met de foto van mijn tanden trots op mijn telefoon.
De assistente belde meteen de beheerder met de mededeling dat ''er staat hier nu iemand die ons helemaal kapot kan hacken". Niet veel later was het gefixed, alles stond weer dicht. Die middag nog een telefoontje gehad van de beheerder om me te bedanken.

Ik heb wel nog melding gedaan van een datalek, maarja, daar is volgens mij nooit meer iets van gekomen. De tandarts zelf heeft ook nooit naar de klanten gemaild of anders kenber gemaakt dat ze de gegevens niet veilig hebben opgeslagen, vond dat allemaal best teleurstellend. Bij ons op werk zijn ooit emailadressen mogelijk gelekt, stond een server open en misschien heeft iemand toegang gehad. Dat is toen in ik weet niet hoeveel landen gemeld als een datalek, zoals het hoort.

Ondertussen op zoek naar een nieuwe tandarts