Beveiligingnieuws Logo

Onze partners

PG Security Systems

NetworxConnect

Explicate

HID

HD Security

VideoGuard

NIBHV

Securitas

Centurion

Alphatronics

Avigilon Alta

Lobeco

MOBOTIX

Distri Company

VAIBS

Seris

OSEC

CSL

Akuvox

Top Security

CDVI

VBN

Connect Security

Hanwha Vision Europe

VEB

Gold-IP

Multiwacht

Sequrix

ASSA ABLOY

Brivo

Regio Control Veldt

2N

Nenova

SmartSD

Advancis

Kiwa

Hikvision

ARAS

Oribi ID Solutions

SOBA

Unii

20face

Seagate

Trigion

Service Centrale Nederland

Crown Security Services

i-Pro

Milestone

Ajax Systems

Bosch Security Systems

CardAccess

DZ Technologies

VVNL

Bydemes

Traka ASSA ABLOY

SMC Alarmcentrale

BHVcertificaat.online

Alarm Meldnet

Uniview

IDIS

Paraat

Masset Solutions

ASIS

Aritech

Eizo

Eagle Eye Networks

SmartCell

Dero Security Products

Genetec

EAL

Add Secure

Paxton

ADI

G4S

Network Optix

Secusoft

Optex

Ernstig beveiligingslek in website RIVM

6 juni 2020
Redactie
16:29

Door slechts enkele cijfers in de URL-balk te veranderen, kon een beveiligingsonderzoeker de gezondheidsgegevens van willekeurige mensen inzien. Het ernstige lek zat in de website Infectieradar van het RIVM. Hierop kunnen mensen doorgeven of ze de afgelopen tijd coronaklachten hebben gehad.

Nadat de onderzoeker zijn bevindingen bij het RIVM had gemeld, is de website met antwoorden op persoonlijke en medische vragen direct offline gehaald. De website blijft offline tot het beveiligingslek is gedicht. Volgens de onderzoeker, Tom Wolters, was het wel heel erg eenvoudig om bij de gevoelige data te komen. Dat kon vanaf het begin op 17 maart tot zaterdagochtend.

Code
Volgens het RIVM bleven de formulieren hooguit één dag op de lekke website staan. Want formulieren worden doorgaans binnen een dag offline gehaald. Het is niet bekend of iemand misbruik heeft gemaakt van het beveiligingslek. Zo’n 60.000 mensen hebben hun medische gegevens op de Infectieradar ingevuld, zoals welke medicijnen ze gebruiken, of ze zwanger zijn, of ze roken en of ze allergieën hebben. Na het invullen krijgt de persoon een code van acht cijfers die zichtbaar is in de URL-balk. Door één van de cijfers te veranderen is de kans groot dat gegevens van een ander kunnen worden gezien. Iets wat volgens Wolters makkelijk te voorkomen is.

Vertrouwen
De kwestie zal het vertrouwen van burgers in de overheid niet versterken. Dat komt ongunstig uit, nu juist deze maand de corona-app de testfase ingaat. De kans bestaat dat mensen deze niet zullen durven gebruiken, als de privacy niet goed gewaarborgd kan worden. Het incident met de Infectieradar leert dat de overheid wat dat betreft nog wel een achterstand heeft in te halen. Ook in de NL Alert-app bleek een ernstig veiligheidslek te zitten, waardoor gebruikers verzocht moest worden deze direct van hun telefoon te verwijderen.

Deel dit artikel via:

Integratierisico's

Premium partners

SequriX

Seagate

Videoguard

Suricat

Aritech

Distri Company

Wordt een partner