Valse reis- en toegangsbewijzen in app CoronaCheck makkelijk te krijgen door lek
Een bedrijf dat coronatesten uitvoert is afgesloten van het systeem met de app CoronaCheck, vanwege een lek in de database van het bedrijf. Dat bevestigt het ministerie van Volksgezondheid, na berichtgeving van RTL Nieuws. De Autoriteit Persoonsgegevens (AP) heeft het bedrijf gezegd dat het meteen moet stoppen met het testen.
Delen per e-mail
Op de website van het bedrijf, Testcoronanu, was het mogelijk om zelf valse reis- en toegangsbewijzen aan te maken. Die konden vervolgens worden gebruikt om een geldige QR-code uit de CoronaCheck-app van de overheid te verkrijgen. Ook lekten de persoonsgegevens uit van tienduizenden mensen die bij het bedrijf een test deden, ontdekte RTL Nieuws.
Nadat het lek aan het licht kwam, is het bedrijf uitgesloten van het systeem van de overheid, zegt een woordvoerder van het ministerie. Het ministerie zegt geen signalen te hebben dat anderen dan RTL van het lek gebruik hebben gemaakt, maar stelt tegelijkertijd dat dat ‘iets is waar de testaanbieder inzicht in heeft'.
De Autoriteit Persoonsgegevens heeft contact gehad met het bedrijf en met het ministerie, zegt een woordvoerster. Het bedrijf mag pas weer opstarten als dat gegarandeerd veilig en betrouwbaar kan. De privacywaakhond spreekt van een ‘zeer ernstig’ datalek. De AP wil ook van de overheid opheldering.
Coronatestbedrijf gevraagd uitslag op andere manier te leveren
Het ministerie van Volksgezondheid heeft het bedrijf Testcoronanu gevraagd om mensen die al een test hadden gedaan de uitslag daarvan op een alternatieve manier te verstrekken.
Minister Hugo de Jonge vindt de situatie,,“in het bijzonder vervelend voor reizigers die op het punt staan om met vakantie te gaan” en zich bij het bedrijf hebben laten testen. ,,Testcoronanu BV is daarom verzocht om mensen die al wel getest waren en op korte termijn reizen hun testuitslag op een veilige andere wijze (bijvoorbeeld op papier) te verstrekken”, schrijft De Jonge aan de Tweede Kamer.
Of en hoe het bedrijf aan dit verzoek wil voldoen, is onduidelijk. Bij een telefoonnummer dat op de website van het bedrijf staat worden bellers geconfronteerd met lange wachttijden. Ook voor een reactie was het bedrijf vandaag niet bereikbaar. ,,Daarnaast is Testcoronanu BV verzocht om alle personen die nog een testafspraak hebben staan persoonlijk te informeren”, vervolgt De Jonge in zijn brief. ,,De testaanbieder zal ons informeren hoeveel reizigers in totaal getroffen zijn.”
Op papier alles in orde
Op papier was alles in orde bij het bedrijf, zegt een woordvoerder van het ministerie. Om toegelaten te worden tot het testsysteem van de overheid moet een bedrijf aan strenge eisen voldoen en bewijzen overleggen om aan te tonen dat het aan deze eisen voldoet. Zo moet een bedrijf onder meer een zogenoemde pen(etratie)test doorstaan, waarbij een computersysteem op kwetsbaarheden wordt gecontroleerd.
‘Op papier’ voldeed Testcoronanu aan alle eisen. ,,Uit een goede pentest had deze kwetsbaarheid moeten blijken. We gaan onderzoek doen naar hoe deze kwetsbaarheid niettemin heeft kunnen bestaan bij de aanbieder. Indien nodig zullen de aansluiteisen van CoronaCheck worden aangescherpt”, aldus het ministerie.
Bij andere aanbieders die voor de overheid testbewijzen verzorgen is gecheckt of er een soortgelijke kwetsbaarheid in het systeem zit. Dat is volgens de woordvoerder niet het geval.
Menselijke fout
Testcoronanu laat zelf weten dat ze melding hebben gedaan van het datalek. ‘Wij hebben hier direct actie op ondernomen door het boekingssysteem offline te halen en het lek te dichten.’ Er wordt een intern onderzoek uitgevoerd en preventieve maatregelen getroffen. ‘We betreuren ten zeerste dat het systeem onvoldoende veilig is gebleken. Hiervoor bieden we dan ook onze oprechte excuses aan en zullen wij alle benodigde maatregelen treffen om dergelijke incidenten in de toekomst te voorkomen.’
Het lek is volgens de coronatester ‘een gevolg van inadequaat autorisatiebeheer dat veroorzaakt is door een menselijke fout’. ,,Kwaadwillende gebruikers zouden zich hierdoor toegang kunnen verschaffen tot de database van het boekingssysteem. Uit het onderzoek is gebleken dat deze gegevens niet zijn geraadpleegd door onbevoegden en hierdoor is het risico op misbruik van persoonsgegevens beperkt. Wij schatten het risico op misbruik van persoonsgegevens in als ‘onwaarschijnlijk'.”
Het bedrijf laat ook op zijn website weten alle locaties te hebben gesloten. Het contacttelefoonnummer is niet meer in gebruik. Coronatestnu heeft een tiental locaties in Nederland en België. Het bedrijf adviseert mensen een andere testaanbieder te zoeken.
Privacywaakhond: zoiets had nooit mogen gebeuren
Mensen moeten ervan uit kunnen gaan dat de overheid de beveiliging van privacygevoelige informatie ‘goed en veilig’ regelt. Dat stelt de Autoriteit Persoonsgegevens in een reactie. ,,Dat vertrouwen is essentieel. Als dit wordt ondermijnd, raakt dat het hele vaccinatieprogramma en de betrouwbaarheid van de CoronaCheck-app.”
Ook stelt de AP: ,,Het gaat hier om medische gegevens. Deze gegevens zijn niet alleen zeer gevoelig, maar kunnen ook worden misbruikt door criminelen. Juist deze gegevens zijn daarom zeer in trek bij criminelen. Ze gebruiken het bijvoorbeeld om je te hacken, op te lichten, te chanteren of om identiteitsfraude mee te plegen.”
De waakhond vindt dat mensen erop moeten kunnen rekenen dat de overheid het goed en veilig regelt. ,,En dat zij dus goed onderzoek doet naar betrouwbaarheid van partijen waarmee samengewerkt gaat worden. En dat de overheid daarbij van tevoren zorgt voor voldoende waarborgen van dit soort organisaties om er zeker van te zijn dat deelnemende partijen veilig en betrouwbaar testen uit gaan voeren.”
De AP heeft het betrokken bedrijf, Testcoronanu, zaterdag gesommeerd de gegevensverwerking onmiddellijk stil te leggen. ,,De organisatie heeft gezegd dat te hebben gedaan.” Op de website van het bedrijf staat inderdaad dat alle testlocaties zondag zijn gesloten. De AP wil weten hoe dit beveiligingsincident kon gebeuren en blijft alles scherp in de gaten houden.
Maar ook wil de waakhond opheldering van het ministerie van Volksgezondheid. ,,Het is niet de eerste keer dat persoonsgegevens die verwerkt worden in verband met Corona niet veilig staan opgeslagen.”
Influencers
Het bedrijf was ook aangesloten bij Testenvoorjereis.nl, de website van de overheid waarop Nederlandse vakantiegangers naar het buitenland een afspraak kunnen maken voor een gratis coronatest.
Testcoronanu, met in totaal dertien locaties, is populair omdat veel influencers daar een coronatest doen. Onder andere Dave Roelvink, Bilal Wahib, Enzo Knol, Najib Amhali en Jamie Vaes, samen goed voor miljoenen volgers, hebben de beelden van hun test op Instagram gezet, het testbedrijf genoemd en daarmee reclame gemaakt.
Bekijk hieronder onze video’s over corona en de vakantie:
Gratis onbeperkt toegang tot Showbytes? Dat kan!
Log in of maak een account aan en mis niks meer van de sterren.Lees Meer
-
Weer ‘echt’ contact met elkaar maken na corona: ‘Je hebt er maar één ding voor nodig’
Zo optimaal mogelijk werken, dat is het streven van organisatiepsycholoog Lennard Toma. Altijd is hij op zoek naar manieren om zelforganisatie en werkgeluk te verbeteren. Wekelijks deelt hij hier zijn beste tips. Vandaag: weer verbinding maken. -
20 jaar oud spel trekt meer dan 115.000 kijkers tijdens finale esportstoernooi
De Amerikaan Joseph ‘Mang0' Manuel Marquez heeft het Super Smash Bros Melee-toernooi Smash Summit 11 gewonnen. Super Smash Bros Melee verscheen in 2001 en heeft sindsdien een flinke fanbase opgebouwd. De finale van het toernooi trok meer dan 115.000 kijkers op streamplatform Twitch. -
Zilveren medaille voor Nederland tijdens olympisch Rocket League-toernooi
Nederland heeft een puike prestatie geleverd tijdens de tweede dag van de Intel World Open. Het Nederlandse eTeamNL wist de sterke poulefase van gisteren te evenaren door Engeland uit te schakelen. In de finale werd helaas verloren van Frankrijk. -
PREMIUMKoken & eten4
Wel of niet drinken bij je eten? Dit zijn de beste tips als je vaak last hebt van je maag of darmen
Uit een onderzoek van het RIVM blijkt dat bijna een kwart van alle Nederlanders last heeft van maag- darm- of leverproblemen. Veelvoorkomende problemen, die relatief onschuldig maar wel heel vervelend zijn, zijn verstopping, buikpijn, brandend maagzuur en diarree. Wat kun je eten om deze klachten te verminderen of te voorkomen? Twee experts vertellen. -
PREMIUM
Vijand kan onze militairen niet afluisteren, dankzij dit bedrijf uit Gouda
Spannend! Het Goudse bedrijf Technolution gaat de radioapparatuur van Defensie versleutelen met cryptografie. Zo kunnen militairen in het veld veilig communiceren, zonder dat de vijand meeluistert. Bij Technolution zijn ze trots, maar vooral supergemotiveerd. ,,Dit kunnen doen voor Nederland is een enorme drijfveer.”
-
Complotdenker Micha Kat (58) opgepakt in Noord-Ierland vanwege bizarre beschuldigingen
De voortvluchtige complotdenker Micha Kat (58) is gisteravond in Noord-Ierland opgepakt op verzoek van de Nederlandse autoriteiten, bevestigt het Openbaar Ministerie in Den Haag. De omstreden vlogger hangt in Nederland een celstraf van minimaal zes maanden boven het hoofd. Onder meer het RIVM deed aangifte tegen de omstreden publicist, omdat hij al sinds het begin van de coronacrisis een hetze tegen directeur Jaap van Dissel voert. De rechter in Belfast beslist op zaterdag 7 augustus of Kat wordt overgeleverd aan Nederland. -
Astrid verloor in drie maanden tijd haar blonde lokken door ziekte en doorbreekt taboe op Twitter
Wanneer haar dochter in de auto naar de Ikea in tranen uitbarst, weet Astrid dat het menens is. ,,Mam, je hebt een hele kale plek!” Een paar dagen later krijgt ze de diagnose Alopecia Areata. Een auto-immuunziekte waar je haar van uitvalt. Na een jaar van radiostilte over de diagnose, spreekt Astrid zich voor het eerst uit op Twitter. ,,Als je een kaal iemand ziet, denk je al snel aan kanker. Dat is zeker niet altijd zo.” -
Met je drone op vakantie? Met deze regels moet je rekening houden
Droneliefhebbers opgelet: sinds dit jaar gelden nieuwe regels voor het gebruik van drones in de buitenlucht, opgelegd vanuit de Europese Unie. Lees dus aandachtig verder, want de boetes voor het niet naleven van deze regels kunnen oplopen tot wel 8700 euro.
Meest gelezen
-
PREMIUM
De invloed van mobieltjes op Afrikanen: ‘Thuisfront wil alleen maar horen dat ze geld sturen’
-
Zo verwijder je definitief je Facebook-account (zonder iets kwijt te raken)
-
Waarom je naast een smartphone toch een fietscomputer kunt overwegen
-
Deze nieuwe emoji's worden later dit jaar aan je telefoon toegevoegd
-
Dit weten we al over de iPhone 13
AD Webwinkel
Meest gedeeld
-
PREMIUM
De invloed van mobieltjes op Afrikanen: ‘Thuisfront wil alleen maar horen dat ze geld sturen’
-
Zo verwijder je definitief je Facebook-account (zonder iets kwijt te raken)
-
Deze nieuwe emoji's worden later dit jaar aan je telefoon toegevoegd
-
Waarom je naast een smartphone toch een fietscomputer kunt overwegen
-
Sven is blind, maar gamet op hoog niveau: ‘Blij dat er aandacht is voor gehandicapte gamers’
