Connect with us

Laatste Nieuws

Groot lek testbedrijf: iedereen kon valse toegangsbewijzen in app CoronaCheck krijgen

Published

on

lek testbedrijf

Door een groot lek bij een testbedrijf was het voor iedereen mogelijk om valse reis- en toegangsbewijzen in de app CoronaCheck te krijgen. Ook zijn de privégegevens van ruim 60.000 mensen die bij dit bedrijf een coronatest hebben gedaan gelekt.

Dat blijkt uit onderzoek van RTL Nieuws. Het lek zit bij Testcoronanu, een testbedrijf met tien locaties in Nederland en drie in België dat is aangesloten bij het initiatief Testenvoorjereis.nl. Het bedrijf wordt daardoor niet alleen door de overheid aangeraden om je te laten testen, maar ook met belastinggeld gesubsidieerd.

Door het lek kon iedereen in de coronadatabase van het testbedrijf neuzen en daar kinderlijk eenvoudig, door twee regels code in je browser in te voeren, je eigen negatieve test toevoegen. Je vult zelf de juiste gegevens in en krijgt vervolgens automatisch een geldig CoronaCheck-bewijs op de door jou ingevulde naam – zonder dat je bent gevaccineerd, daadwerkelijk bent getest of hersteld bent van corona.

Per direct gestopt

Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) heeft na melding door RTL Nieuws het testbedrijf afgesloten van zijn systemen, waardoor er geen testen of toegangsbewijzen meer kunnen worden uitgegeven. Ook moet het testbedrijf van de Autoriteit Persoonsgegevens per direct stoppen met testen omdat de gegevens daar niet veilig zijn.

Volgens experts zijn valse coronabewijzen een gevaar voor de volksgezondheid en funest voor het vertrouwen in CoronaCheck, de app die wordt gebruikt om te reizen en de samenleving volgens de overheid weer ‘open’ moet krijgen.

Het coronabewijs

In de database van het testbedrijf kon je zelf invullen wat voor test je wilde, bijvoorbeeld antigeen of pcr, wanneer deze is afgenomen en wat het resultaat is. Daarna kon je een Nederlands of Europees coronabewijs maken die beide worden geaccepteerd voor evenementen en reizen. Ook krijg je automatisch een reiscertificaat van Testcoronanu met daarop de handtekening van een dokter dat je negatief bent getest.

Advertisement

De gegevens die bij het bewijs worden gecontroleerd, zoals je volledige naam en geboortedatum, kon je naar eigen wens invoeren, bijvoorbeeld voor jezelf of een ander. Het was ook mogelijk om de gegevens van anderen aan te passen, zoals hun negatieve test te veranderen naar een positieve. Of door de testdatum aan te passen waardoor een coronatest niet meer geldig is.

test

‘Waardeloze app’

Dat de database van het testbedrijf voor iedereen toegankelijk was, is “één van de grootste fouten die je kunt maken”, zegt Dave Maasland, directeur van cyberbeveiligingsbedrijf ESET Nederland. “Iedereen met een internetverbinding kan gewoon gegevens aanpassen in een coronadatabase. Je gaat je afvragen: wie hebben er allemaal nog meer op deze manier misbruik van gemaakt?”

Het lek roept ook de vraag op hoe betrouwbaar CoronaCheck eigenlijk is. “Enige vorm van betrouwbaarheid is nu helemaal weg”, stelt hoogleraar microbiologie Bert Niesters van het Universitair Medisch Centrum Groningen. “Er was al bij deze app geen goede controle aan de deur en nu ook de besmettingen door de Delta-variant ontzettend stijgen, is het totaal onverantwoord om deze app nog te gebruiken voor evenementen waar geen anderhalve meter kan worden gehouden. Deze app is eigenlijk waardeloos.”

Datalek tienduizenden mensen

Het lek in de database gaf ook toegang tot de privégegevens van ruim 60.000 mensen die bij Testcoronanu een test hebben gedaan. Het gaat om volledige namen, woonadressen, e-mailadressen, telefoonnummers, burgerservicenummers (bsn’s), paspoortnummers en medische gegevens zoals of je positief of negatief bent getest. Van honderden mensen stond hun positieve coronatest in het systeem.

U mag gratis verder lezen. Dat blijft ook zo. Deze website is wel afhankelijk van uw donaties. Steun ook vrije journalistiek in deze tijd van het Nieuwe Normaal. Wat normaal is bepalen wij samen. Dat begint op plekken als deze.

Een oproep van de redactie: door de coronacrisis heeft SDB het, net als veel andere websites, ontzettend lastig. Wij willen alles gratis leesbaar houden voor iedereen, waardoor we voor onze inkomsten afhankelijk zijn van reclame. Maar bedrijven hebben financiële zorgen, en hebben dus niet veel te makken. Daar merken wij de gevolgen ook van. Vandaar onze omroep aan u, onze lezers: steun ons alsjeblieft! U kan hier ons steunen.

Deze gegevens zijn niet alleen zeer gevoelig, maar kunnen ook worden misbruikt door cybercriminelen. Hoe meer gegevens een crimineel over jou heeft, hoe makkelijk je kan worden gehackt, in phishing trapt of er identiteitsfraude wordt gepleegd.

Advertisement

“Dit datalek is heel schokkend”, reageert hoogleraar ICT & Recht Frederik Zuiderveen Borgesius van de Radboud Universiteit. “Veel gevoeliger dan dit wordt het niet. Dit is juist waar medische privacy voor is: dat mensen zich durven te laten testen omdat ze erop moeten kunnen vertrouwen dat hun gegevens veilig zijn. Je merkt dat dit nog niet voldoende leeft bij partijen die sinds kort massaal de testindustrie zijn ingestapt, en daardoor gaat het nu zo mis.”

Testcoronanu verwijdert bsn’s wel een aantal dagen na de test. Door de database regelmatig uit te lezen en alle bsn’s op te vragen kun je die beveiliging omzeilen, maar het zorgt er wel voor dat niet van iedereen het bsn is gelekt.

Alle locaties gesloten

Testcoronanu, met in totaal dertien locaties, is populair omdat veel influencers daar een coronatest doen. Onder andere Dave Roelvink, Bilal Wahib, Enzo Knol, Najib Amhali en Jamie Vaes, samen goed voor miljoenen volgers, hebben de beelden van hun test op Instagram gezet, het testbedrijf genoemd en daarmee reclame gemaakt.

Na melding door RTL Nieuws heeft Testcoronanu de website offline gehaald om het lek te dichten. Alle locaties zijn sinds zondag gesloten vanwege “onvoorziene omstandigheden”, mensen die een testafspraak hadden staan worden verzocht een afspraak te maken bij een andere aanbieder.

Het testbedrijf gaat alle klanten vandaag over het datalek informeren en huurt een externe IT-specialist in om het lek te onderzoeken. “Dit mag natuurlijk nooit meer gebeuren”, aldus een woordvoerder.

Advertisement

De Autoriteit Persoonsgegevens noemt het datalek “zeer ernstig” en stelt dat het bedrijf pas weer mag beginnen met testen en het verwerken van gegevens als “de veiligheid en betrouwbaarheid zijn gegarandeerd”.

Hoe zit het lek technisch in elkaar?

Testcoronanu maakt gebruik van Googles databasesysteem Firestore. Zodra je een account hebt op de site, heb je ook toegang tot deze volledige database. Normaal zit daar nog een digitale muur tussen, zodat je als normale gebruiker niet zelfstandig de database kan doorzoeken.

In de browser kun je commando’s uitvoeren om de database te doorzoeken. RTL Nieuws heeft opgezocht hoeveel mensen en gegevens in de database stonden, en heeft zijn eigen gegevens aangepast om een negatief testbewijs te krijgen. Dat testbedrijf kon via CoronaCheck worden omgezet in een QR-code.

Het is voor testaanbieders, en eigenlijk iedereen die een database beheert, belangrijk om in de gaten te houden welke gebruikers welke rechten hebben, en wie de database kan raadplegen. Google heeft diverse documenten gemaakt om de Firestore-database beter te beveiligen, bijvoorbeeld door de open toegang aan te passen.

Onderzoek VWS

Het ministerie van VWS gaat onderzoek doen naar hoe Testcoronanu, ondanks het gapende gat in hun database, is geaccepteerd als een betrouwbare partner. Deze testbedrijven moeten allerlei documenten aanleveren waaruit blijkt dat ze “aan de hoogste dataveiligheids- en privacyeisen voldoen”.

Volgens het ministerie zijn er “geen signalen” dat anderen dan de journalist toegang hebben gehad tot de gegevens. “Naast het dichten van het lek door de aanbieder hebben we gelijk ingezet op het vinden van een oplossing voor reizigers wiens test nu niet door kan gaan of die nog wachten op een testuitslag”, laat een woordervoer weten.

Advertisement

De Autoriteit Persoonsgegevens gaat bij het ministerie van VWS opheldering vragen hoe het kan dit testbedrijf een officiële partner is geworden: “Mensen moeten er vanuit kunnen gaan dat de overheid dit goed en veilig regelt.”

 

Continue Reading
Advertisement
Click to comment

You must be logged in to post a comment Login

Leave a Reply

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

BELANGRIJK STEUN SDB MET EEN KLEINE GIFT

Plaats je eigen nieuws op Ons Nieuws

On Nieuws

Google Incognitomodus is niet anoniem

Google Incognitomodus is niet anoniem en blijft persoonlijke gegevens verzamelen, stelt Texaanse procureur-generaal Ken Paxton In de Verenigde Staten wordt Alphabet- het moederbedrijf van Google – door verschillende Amerikaanse staten… [...]

Trump welkom in Rusland Biden NIET!

President Joe Biden op de “zwarte lijst” van Rusland, maar voormalig president Donald Trump niet. Trump blijft gewoon welkom. Het Russische ministerie van Buitenlandse Zaken heeft zaterdag een lijst van mensen die niet langer… [...]

Omvolking

Het gesprek dat Ongehoord Nederland uitzond over het ‘omvolking’ van Europa en waarin met name de Vlaamse politicus Filip Dewinter (Vlaams Belang) stevige argumenten voor die gedachte poneerde, is verkeerd gevallen… [...]

Hubert Bruls die vet nek moet minder drinken

Hubert Bruls is 10 jaar burgemeester van Nijmegen. Radio Gelderland vindt dat kennelijk een prestatie, want de hele dag wordt Bruls op de regionale zender geprezen. Met name toen Bruls… [...]

Deze politici pikken nieuwe richtlijnen op op de WEF-bijeenkomst

Illustere WEF ronde voor de reorganisatie van de wereld. WEF – De jaarlijkse bijeenkomst van het World Economic Forum (WEF) in Davos begon vandaag, zondag, en duurt tot en met… [...]

Copyright © 2010 SDB

Dumanbet yeni giriş - Dinamobet giriş -
Kolaybet giriş
- Sekabet yeni giriş - envidatoken.io -
celtabet
- atlantisbahis.club -

retrobet.live

-

mars bahis güncel adres

- istanbul eskort - izmir eskort - eskort mersin - eskort - eskort antalya - istanbul avukat - web tasarım