Datalek Infectieradar toont persoonsgegevens gebruikers

Datalek Infectieradar toont persoonsgegevens gebruikers

Laatst bijgewerkt: 9 juni 2020
Leestijd: 3 minuten, 43 seconden

Het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) kwam afgelopen weekend ernstig in verlegenheid. De websitesite Infectieradar.nl bevatte een ernstig datalek. Hierdoor was het kinderlijk eenvoudig om te kijken welke antwoorden andere gebruikers gaven op de vragenlijst van de site. Het RIVM haalde de site direct offline toen het lucht kreeg van het lek.

Het datalek kwam aan het licht door onderzoek van de NOS in samenwerking met beveiligingsonderzoeker Tom Wolters.

Vragenlijst

Een corona-app, een dashboard, een noodwet die providers verplicht om telecomdata door te sturen naar het RIVM voor onderzoek: het kabinet doet er alles aan om de opmars van het coronavirus een halt toe te roepen. Een ander initiatief van de regering om te kijken hoe COVID-19 zich in ons land ontwikkelt, is de website Infectieradar.nl. Op deze site kunnen Nederlanders doorgeven of zij last hebben van symptomen die horen bij het coronavirus.

Gebruikers krijgen vragenlijsten voorgeschoteld met daarin persoonlijke en medische vragen. Vragen die persoonlijk van aard zijn en waarvan je het antwoord niet met de buitenwereld wil delen. En juist op dat vlak ging het afgelopen weekend helemaal fout.

Als je je aanmeldt voor Infectieradar, krijg je een uniek ID-nummer van het RIVM. Daarmee is het voor onderzoekers mogelijk om gegevens van één-en-dezelfde persoon te verzamelen en samen te voegen. Dit nummer verschijnt in de URL-balk zodra je je aanmeldt en een vragenlijst invult. Door simpelweg één of meerdere cijfers in het ID-nummer te veranderen, kreeg je de ingevulde enquête van een ander te zien.

Identiteitsfraude

Dat klinkt onschuldig, omdat je immers niet weet wie er achter het ID-nummer schuil gaat. Toch is het met de informatie die je hiermee verkrijgt mogelijk om de identiteit van gebruikers van Infectieradar.nl te achterhalen. Naast relatief ongevoelige gegevens als geboortejaar en postcode was het tevens mogelijk om e-mailadressen van gebruikers te verzamelen. Tevens kon je de medische voorgeschiedenis van gebruikers bekijken. Al met al behoorlijk gevoelige gegevens die ernstig inbreuk maken op de privacy van gebruikers.

De NOS en beveiligingsonderzoeker Tom Wolters waren in staat om binnen een paar minuten de antwoorden van 44 gebruikers van Infectieradar.nl te achterhalen. Tevens was het mogelijk om gericht te zoeken naar de antwoorden op specifieke vragen. Cybercriminelen kunnen met deze gegevens gepersonaliseerde spam- en phishingberichten sturen. In het ergste geval is het zelfs mogelijk om met deze gegevens identiteitsfraude te plegen.

Geschrokken

Zo’n 60.000 Nederlanders hebben zich aangemeld op Infectieradar.nl. Jaap van Dissel, hoofd Infectiebestrijding bij het RIVM, riep afgelopen week nog mensen op om zich aan te melden op de site en de vragenlijsten in te vullen. Het liefst zou hij 100.000 gebruikers hebben: hoe meer mensen actief deelnemen, des te beter krijgen onderzoekers weten hoe het coronavirus zich verspreidt en ontwikkelt.

Het datalek bestaat al sinds de lancering van de website op 17 maart. Of er daadwerkelijk misbruik is gemaakt van het datalek, is onbekend. Volgens het RIVM zijn er in het afgelopen weekend twee gevallen bekend van misbruik. Daarbij gaat het hoogstwaarschijnlijk om het onderzoek van de NOS en Tom Wolters. Zodra de NOS het lek meldde aan het RIVM, is Infectieradar.nl direct offline gehaald. Dat was op zaterdagochtend.

Susan van den Hof, hoofd Epidemiologie bij het RIVM, zegt tegenover de NOS geschrokken te zijn van het lek. “Het hoort natuurlijk niet dat mensen bij privacygevoelige informatie kunnen. De database is onmiddellijk offline gehaald. De softwareleverancier is ook meteen ingelicht.” Volgens Van den Hof heeft deze inmiddels een oplossing gevonden voor het lek en deze toegepast. Het RIVM test momenteel of dat inderdaad het geval is.

“Dit incident geeft aan hoe belangrijk het is dat er goed getest wordt voordat iets online gaat en hoe belangrijk het is dat privacygevoelige informatie ook daadwerkelijk vertrouwelijk blijft”, erkent Van den Hof. Volgens Wolters is het lek een signaal naar de overheid toe. “Ze moeten vooraf beter kijken naar mogelijke beveiligingsproblemen”, zo zegt hij tegenover de NOS.

NL-Alert

Het is niet de eerste keer dat een technologisch hulpmiddel van de overheid een datalek blijkt te bevatten. Eind april gingen alle alarmbellen af bij het ministerie van Justitie en Veiligheid toen bleek dat de NL-Alert app zonder toestemming locatiegegevens en andere persoonsgegevens doorstuurde naar een externe dienst. Daarmee voldoet de app niet de Europese AVG-verordening. Volgens verantwoordelijk minister Ferd Grapperhaus waren er geen aanwijzingen voor misbruik van het datalek in de app. Toch adviseerde hij iedereen om de app te verwijderen en opnieuw te installeren zodra de app weer naar behoren werkte.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen