Beveiligingnieuws Logo

Onze partners

Gold-IP

MOBOTIX

Nenova

Distri Company

Alarm Meldnet

Bydemes

OpenEye

Van Dusseldorp Training

Paraat

Advancis

Ajax Systems

NIBHV

Centurion

Intrasec

ASSA ABLOY

Optex

Securitas

CSL

ARAS

Top Security

Eagle Eye Networks

Uniview

Milestone

Network Optix

Teletek

IDIS

VVNL

Unii

Trigion

Aritech

VBN

Seagate

Paxton

ADI

HD Security

Hanwha Vision Europe

Alphatronics

Synguard

Add Secure

Paralax

SOBA

CDVI

Lobeco

BHVcertificaat.online

G4S

Traka ASSA ABLOY

Masset

i-Pro

SmartCell

Brivo

OSEC

Sequrix

SMC Alarmcentrale

Eizo

Kidde Commercial

Multiwacht Security

VEB

2N

Secusoft

HID

ASIS

LUGN

SmartSD

Seris

Hikvision

Regio Control Veldt

Crown Security Services

MPL

Genetec

Akuvox

VAIBS

Connect Security

VGN Group

Service Centrale Nederland

VisionPlatform.ai

Bosch Security Systems

Valse coronatest mogelijk door datalek bij erkend testbedrijf

18 juli 2021
Redactie
10:31

RTL Nieuws heeft een relatief makkelijke manier ontdekt om zonder test een bewijs van een negatieve coronatest te krijgen. Deze geeft besmette personen toegang tot onder andere evenementen en vliegtuigen. Bij het betreffende testbedrijf bleken bovendien van 60.000 cliënten de persoonsgegevens geraadpleegd en veranderd te kunnen worden.

Het gaat om het bedrijf Testcoronanu met tien vestigingen in Nederland en drie in België. Wie zich er liet testen om bijvoorbeeld een evenement te kunnen bezoeken of op reis te gaan, kon na een negatieve uitslag met de CoronaCheck van de overheid een QR-code genereren, waarmee toegang wordt verleend. Dat laatste kon via Testcoronanu echter ook na een positieve test, zo concludeert RTL Nieuws. Twee regels code invoeren in de browser volstond. Men kon dan zelf de testuitslag veranderen. De onderzoekers hebben het lek gemeld bij het ministerie van Volksgezondheid, Welzijn en Sport (VWS), waarna het testbedrijf direct werd afgesloten van het CoronaCheck-systeem. Ook moet Testcoronanu van de Autoriteit Persoonsgegevens de activiteiten beëindigen omdat de persoonsgegevens van cliënten niet goed beveiligd worden.

Besmettingsgolf
Het wekte al verbazing dat ondanks het gebruik van de CoronaCheck-app honderden besmettingen plaatsvonden tijdens enkele druk bezochte evenementen. Of de huidige besmettingsgolf verband houdt met het lek bij Testcoronanu is echter niet duidelijk. De onderzoekers kregen toegang tot de database van het bedrijf en vulden in wat voor test zij zogenaamd hadden gehad en wat daarvan de uitslag was. Vervolgens konden zij een coronabewijs en een reiscertificaat met de handtekening van een arts genereren. Het was ook mogelijk om gegevens van andere cliënten aan te passen. Het is niet bekend of en hoe vaak dit is gebeurd. Hoogleraar microbiologie Bert Niesters van het UMC Groningen zegt tegen RTL Nieuws dat deze kwestie de betrouwbaarheid van de CoronaCheck ondergraaft. Hij vindt de overheids-app waardeloos voor evenementen waarbij het niet mogelijk is om anderhalve meter afstand te houden.

Identiteitsfraude
De ruim 60.000 cliënten van Testcoronanu moeten er rekening mee houden dat hun volledige namen, woonadressen, e-mailadressen, telefoonnummers, burgerservicenummers (bsn’s), paspoortnummers en medische gegevens zoals een positieve of negatieve testuitslag zijn gelekt. Deze gegevens zijn te misbruiken voor identiteitsfraude en verschillende vormen van computercriminaliteit.
Sinds zondag zijn alle locaties van het bedrijf gesloten en is de website offline gehaald. Cliënten ontvangen een bericht over het datalek en er zou een expert worden ingehuurd om de beveiliging te verbeteren. Volgens RTL Nieuws is op een verkeerde manier gebruik gemaakt van het databasesysteem Firestore van Google. Standaard is die door iedereen met een account te benaderen. Daarom zijn bepaalde instellingen nodig om gegevens af te schermen voor normale gebruikers. Anders kan de database worden doorzocht door commando’s uit te voeren in de browser. Ook zijn zo gegevens te veranderen. Het ministerie van VWS en de AP starten een onderzoek naar hoe Testcoronanu ondanks de falende beveiliging kon worden toegelaten als betrouwbare partner van CoronaCheck.
Om te bewijzen dat het bedrijf echt niets van datasecurity begrijpt, stuurde het zondag een e-mail naar cliënten die een afspraak hadden staan, met alle e-mailadressen in de cc in plaats van de bcc!

Deel dit artikel via:

Vlog

Premium partners

Seagate

Suricat

Boon Edam

Artitech Kidde Commercial

Distri Company

SequriX

Wordt een partner