Ernstig beveiligingslek in website RIVM
Door slechts enkele cijfers in de URL-balk te veranderen, kon een beveiligingsonderzoeker de gezondheidsgegevens van willekeurige mensen inzien. Het ernstige lek zat in de website Infectieradar van het RIVM. Hierop kunnen mensen doorgeven of ze de afgelopen tijd coronaklachten hebben gehad.
Nadat de onderzoeker zijn bevindingen bij het RIVM had gemeld, is de website met antwoorden op persoonlijke en medische vragen direct offline gehaald. De website blijft offline tot het beveiligingslek is gedicht. Volgens de onderzoeker, Tom Wolters, was het wel heel erg eenvoudig om bij de gevoelige data te komen. Dat kon vanaf het begin op 17 maart tot zaterdagochtend.
Code
Volgens het RIVM bleven de formulieren hooguit één dag op de lekke website staan. Want formulieren worden doorgaans binnen een dag offline gehaald. Het is niet bekend of iemand misbruik heeft gemaakt van het beveiligingslek. Zo’n 60.000 mensen hebben hun medische gegevens op de Infectieradar ingevuld, zoals welke medicijnen ze gebruiken, of ze zwanger zijn, of ze roken en of ze allergieën hebben. Na het invullen krijgt de persoon een code van acht cijfers die zichtbaar is in de URL-balk. Door één van de cijfers te veranderen is de kans groot dat gegevens van een ander kunnen worden gezien. Iets wat volgens Wolters makkelijk te voorkomen is.
Vertrouwen
De kwestie zal het vertrouwen van burgers in de overheid niet versterken. Dat komt ongunstig uit, nu juist deze maand de corona-app de testfase ingaat. De kans bestaat dat mensen deze niet zullen durven gebruiken, als de privacy niet goed gewaarborgd kan worden. Het incident met de Infectieradar leert dat de overheid wat dat betreft nog wel een achterstand heeft in te halen. Ook in de NL Alert-app bleek een ernstig veiligheidslek te zitten, waardoor gebruikers verzocht moest worden deze direct van hun telefoon te verwijderen.