RTL Nieuws heeft een relatief makkelijke manier ontdekt om zonder test een bewijs van een negatieve coronatest te krijgen. Deze geeft besmette personen toegang tot onder andere evenementen en vliegtuigen. Bij het betreffende testbedrijf bleken bovendien van 60.000 cliënten de persoonsgegevens geraadpleegd en veranderd te kunnen worden.

Het gaat om het bedrijf Testcoronanu met tien vestigingen in Nederland en drie in België. Wie zich er liet testen om bijvoorbeeld een evenement te kunnen bezoeken of op reis te gaan, kon na een negatieve uitslag met de CoronaCheck van de overheid een QR-code genereren, waarmee toegang wordt verleend. Dat laatste kon via Testcoronanu echter ook na een positieve test, zo concludeert RTL Nieuws. Twee regels code invoeren in de browser volstond. Men kon dan zelf de testuitslag veranderen. De onderzoekers hebben het lek gemeld bij het ministerie van Volksgezondheid, Welzijn en Sport (VWS), waarna het testbedrijf direct werd afgesloten van het CoronaCheck-systeem. Ook moet Testcoronanu van de Autoriteit Persoonsgegevens de activiteiten beëindigen omdat de persoonsgegevens van cliënten niet goed beveiligd worden.

Besmettingsgolf
Het wekte al verbazing dat ondanks het gebruik van de CoronaCheck-app honderden besmettingen plaatsvonden tijdens enkele druk bezochte evenementen. Of de huidige besmettingsgolf verband houdt met het lek bij Testcoronanu is echter niet duidelijk. De onderzoekers kregen toegang tot de database van het bedrijf en vulden in wat voor test zij zogenaamd hadden gehad en wat daarvan de uitslag was. Vervolgens konden zij een coronabewijs en een reiscertificaat met de handtekening van een arts genereren. Het was ook mogelijk om gegevens van andere cliënten aan te passen. Het is niet bekend of en hoe vaak dit is gebeurd. Hoogleraar microbiologie Bert Niesters van het UMC Groningen zegt tegen RTL Nieuws dat deze kwestie de betrouwbaarheid van de CoronaCheck ondergraaft. Hij vindt de overheids-app waardeloos voor evenementen waarbij het niet mogelijk is om anderhalve meter afstand te houden.

Identiteitsfraude
De ruim 60.000 cliënten van Testcoronanu moeten er rekening mee houden dat hun volledige namen, woonadressen, e-mailadressen, telefoonnummers, burgerservicenummers (bsn’s), paspoortnummers en medische gegevens zoals een positieve of negatieve testuitslag zijn gelekt. Deze gegevens zijn te misbruiken voor identiteitsfraude en verschillende vormen van computercriminaliteit.
Sinds zondag zijn alle locaties van het bedrijf gesloten en is de website offline gehaald. Cliënten ontvangen een bericht over het datalek en er zou een expert worden ingehuurd om de beveiliging te verbeteren. Volgens RTL Nieuws is op een verkeerde manier gebruik gemaakt van het databasesysteem Firestore van Google. Standaard is die door iedereen met een account te benaderen. Daarom zijn bepaalde instellingen nodig om gegevens af te schermen voor normale gebruikers. Anders kan de database worden doorzocht door commando’s uit te voeren in de browser. Ook zijn zo gegevens te veranderen. Het ministerie van VWS en de AP starten een onderzoek naar hoe Testcoronanu ondanks de falende beveiliging kon worden toegelaten als betrouwbare partner van CoronaCheck.
Om te bewijzen dat het bedrijf echt niets van datasecurity begrijpt, stuurde het zondag een e-mail naar cliënten die een afspraak hadden staan, met alle e-mailadressen in de cc in plaats van de bcc!