Beveiligingnieuws Logo

Onze partners

Add Secure

i-Pro

Paxton

Centurion

Aritech

ARAS

Service Centrale Nederland

Connect Security

NIBHV

Milestone

Nenova

ADI

VVNL

OSEC

2N

Eagle Eye Networks

HD Security

Kiwa

Hanwha Vision Europe

ASSA ABLOY

Eizo

Sequrix

Dero Security Products

CDVI

Seagate

Genetec

Advancis

VEB

Multiwacht

Secusoft

CardAccess

BHVcertificaat.online

Uniview

Hikvision

Seris

PG Security Systems

VideoGuard

Avigilon Alta

IDIS

G4S

Oribi ID Solutions

NetworxConnect

CSL

Securitas

Lobeco

Regio Control Veldt

HID

SmartCell

SOBA

Brivo

VAIBS

20face

VBN

Crown Security Services

Alphatronics

Explicate

Top Security

Alarm Meldnet

Akuvox

Paraat

Masset Solutions

Bydemes

SmartSD

Network Optix

Ajax Systems

Bosch Security Systems

DZ Technologies

SMC Alarmcentrale

EAL

Trigion

Traka ASSA ABLOY

ASIS

Unii

Optex

Gold-IP

Valse coronatest mogelijk door datalek bij erkend testbedrijf

18 juli 2021
Redactie
10:31

RTL Nieuws heeft een relatief makkelijke manier ontdekt om zonder test een bewijs van een negatieve coronatest te krijgen. Deze geeft besmette personen toegang tot onder andere evenementen en vliegtuigen. Bij het betreffende testbedrijf bleken bovendien van 60.000 cliënten de persoonsgegevens geraadpleegd en veranderd te kunnen worden.

Het gaat om het bedrijf Testcoronanu met tien vestigingen in Nederland en drie in België. Wie zich er liet testen om bijvoorbeeld een evenement te kunnen bezoeken of op reis te gaan, kon na een negatieve uitslag met de CoronaCheck van de overheid een QR-code genereren, waarmee toegang wordt verleend. Dat laatste kon via Testcoronanu echter ook na een positieve test, zo concludeert RTL Nieuws. Twee regels code invoeren in de browser volstond. Men kon dan zelf de testuitslag veranderen. De onderzoekers hebben het lek gemeld bij het ministerie van Volksgezondheid, Welzijn en Sport (VWS), waarna het testbedrijf direct werd afgesloten van het CoronaCheck-systeem. Ook moet Testcoronanu van de Autoriteit Persoonsgegevens de activiteiten beëindigen omdat de persoonsgegevens van cliënten niet goed beveiligd worden.

Besmettingsgolf
Het wekte al verbazing dat ondanks het gebruik van de CoronaCheck-app honderden besmettingen plaatsvonden tijdens enkele druk bezochte evenementen. Of de huidige besmettingsgolf verband houdt met het lek bij Testcoronanu is echter niet duidelijk. De onderzoekers kregen toegang tot de database van het bedrijf en vulden in wat voor test zij zogenaamd hadden gehad en wat daarvan de uitslag was. Vervolgens konden zij een coronabewijs en een reiscertificaat met de handtekening van een arts genereren. Het was ook mogelijk om gegevens van andere cliënten aan te passen. Het is niet bekend of en hoe vaak dit is gebeurd. Hoogleraar microbiologie Bert Niesters van het UMC Groningen zegt tegen RTL Nieuws dat deze kwestie de betrouwbaarheid van de CoronaCheck ondergraaft. Hij vindt de overheids-app waardeloos voor evenementen waarbij het niet mogelijk is om anderhalve meter afstand te houden.

Identiteitsfraude
De ruim 60.000 cliënten van Testcoronanu moeten er rekening mee houden dat hun volledige namen, woonadressen, e-mailadressen, telefoonnummers, burgerservicenummers (bsn’s), paspoortnummers en medische gegevens zoals een positieve of negatieve testuitslag zijn gelekt. Deze gegevens zijn te misbruiken voor identiteitsfraude en verschillende vormen van computercriminaliteit.
Sinds zondag zijn alle locaties van het bedrijf gesloten en is de website offline gehaald. Cliënten ontvangen een bericht over het datalek en er zou een expert worden ingehuurd om de beveiliging te verbeteren. Volgens RTL Nieuws is op een verkeerde manier gebruik gemaakt van het databasesysteem Firestore van Google. Standaard is die door iedereen met een account te benaderen. Daarom zijn bepaalde instellingen nodig om gegevens af te schermen voor normale gebruikers. Anders kan de database worden doorzocht door commando’s uit te voeren in de browser. Ook zijn zo gegevens te veranderen. Het ministerie van VWS en de AP starten een onderzoek naar hoe Testcoronanu ondanks de falende beveiliging kon worden toegelaten als betrouwbare partner van CoronaCheck.
Om te bewijzen dat het bedrijf echt niets van datasecurity begrijpt, stuurde het zondag een e-mail naar cliënten die een afspraak hadden staan, met alle e-mailadressen in de cc in plaats van de bcc!

Deel dit artikel via:

Schijn-zzp'ers

Premium partners

Videoguard

Aritech

SequriX

Suricat

Seagate

Wordt een partner