De Jonge gaat pentest Testcoronanu onderzoeken

Close-up van een router waar meerdere netwerkkabels op zijn aangesloten

Demissionair minister van Volksgezondheid, Welzijn en Sport Hugo de Jonge en minister van Infrastructuur en Waterstaat Cora van Nieuwenhuizen-Wijbenga stellen een onderzoek in naar de pentestrapportage van Testcoronanu. Mogelijk is er iets mis met de aangeleverde bewijsstukken, waardoor het lek niet aan het licht is gekomen. Mocht het onderzoek daartoe aanleiding geven, dan scherpt het kabinet de aansluiteisen op CoronaCheck aan.

Dat schrijven de ministers in een brief aan de Tweede Kamer.

Twee datalekken binnen 24 uur tijd

Dit weekend werd pijnlijk duidelijk dat Testcoronanu zijn zaakjes niet goed op orde had. Uit onderzoek van RTL Nieuws bleek dat iedereen met een internetverbinding toegang had tot het databasesysteem van het bedrijf. Men kon zodoende niet alleen privacygevoelige informatie van iedereen inzien, maar ook bewerken. Stel dat je positief getest was op corona, dan was het kinderlijk eenvoudig om de testuitslag te veranderen in negatief. De CoronaCheck-app, waarmee de database van Testcoronanu was verbonden, toonde dat een QR-code met groengekleurde achtergrond.

Doordat de deur naar het databasesysteem wagenwijd openstond, waren de privé- en persoonsgegevens van ruim 60.000 Nederlanders toegankelijk. Zaken als namen, woonadressen, e-mailadressen, telefoonnummers, burgerservicenummers (BSN), paspoortnummers en medische gegevens lagen voor het oprapen voor hackers en cybercriminelen. Dit soort data gebruiken zij voor spamming, phishing en om identiteitsfraude te plegen.

Testcoronanu beloofde alle gedupeerden zondag op de hoogte te brengen van het lek. Tot overmaat van ramp veroorzaakte een werknemer daarbij een tweede datalek. In plaats van de e-mailadressen van de slachtoffers in de bcc-regel te plaatsen, kopieerde hij ze naar de cc-regel. De ontvangers beschikten zodoende over de e-mailadressen van alle geadresseerden.

‘Geen signalen’ dat anderen toegang hadden tot de database

Testcoronanu heeft uit voorzorg alle dertien testlocaties in Nederland en België gesloten. De website om afspraken te maken werd eveneens uit de lucht gehaald. Het bedrijf riep iedereen op die een afspraak had staan om een nieuwe afspraak te maken bij een andere aanbieder.

Het ministerie van Volksgezondheid, Welzijn en Sport dat er ‘geen signalen’ zijn dat anderen, behalve RTL Nieuws, toegang hebben gehad tot de gegevens in de database. “Naast het dichten van het lek door de aanbieder hebben we gelijk ingezet op het vinden van een oplossing voor reizigers wiens test nu niet door kan gaan of die nog wachten op een testuitslag”, zo vertelde een woordvoerder.

De Autoriteit Persoonsgegevens noemde het datalek ‘zeer ernstig’. Testcoronanu mag pas weer aan de slag en persoonsgegevens verwerken als ze de veiligheid en betrouwbaarheid kan garanderen. De toezichthouder gaat het ministerie van Volksgezondheid om opheldering vragen.

Kabinet laat pentest onderzoeken

Daarmee is de zaak voor het ministerie van Volksgezondheid, Welzijn en Sport en het ministerie van Infrastructuur en Waterstaat nog niet ten einde. In een brief aan de Tweede Kamer schrijven demissionair minister De Jonge en Van Nieuwenhuizen-Wijbenga dat alle partijen die aangesloten zijn op de database van CoronaCheck, aan strenge aansluitvoorwaarden voldoen. Ze moeten bewijsstukken aantonen dat de informatiebeveiliging van hun systemen op orde is. Ze moeten onder meer een Data Protection Impact Assessment (DPIA) of gegevensbeschermingseffectbeoordeling aanleveren, net als een penetratie- of pentestrapportage.

Een DPIA is een onderzoek waarbij een onafhankelijke partij in kaart brengt hoe een bedrijf of organisatie omgaat met het verwerken van persoonsgegevens. Een pentest is een test waarbij experts een systeem onderzoeken op zwakke plekken en risico’s. Testcoronanu heeft beide onderzoeken laten uitvoeren voordat ze werd aangesloten op het systeem van CoronaCheck. Mogelijk is daarbij iets misgegaan.

“Wij starten een nader onderzoek naar de juistheid van de aangeleverde bewijsstukken en in het bijzonder naar de aangeleverde pentest. Uit een goede pentest had de gevonden kwetsbaarheid namelijk moeten blijken”, zo schrijven de ministers aan de Tweede Kamer. Mocht het onderzoek daartoe aanleiding geven, dan worden de aansluiteisen verder aangescherpt.

Een pentest is overigens niet onfeilbaar als het gaat om beveiligingsrisico’s op te sporen. Zo zag een pentest bij de gemeente Hof van Twente het zwakke wachtwoord van de FTP-server over het hoofd. Het standaardwachtwoord was weliswaar veranderd, maar het alternatief was niet veel sterker: dat was ‘Welkom2020’. Met behulp van een brute force attack slaagden hackers erin om de computersystemen van de gemeente binnen te dringen, bestanden te versleutelen en privacygevoelige gegevens van burgers te stelen.

Kabinet helpt Nederlanders die op het punt staan met vakantie te gaan

Minister De Jonge en Van Nieuwenhuizen-Wijbenga benadrukken dat alle partijen na aansluiting periodiek worden gemonitord. Als blijkt dat er iets niet in de haak is, kan overgegaan worden tot afsluiting. Testcoronanu is sinds 10 juli aangesloten op het systeem van CoronCheck. Daardoor was het bedrijf nog niet onderworpen aan een periodieke controle.

Vanwege de ernst van het lek hebben De Jonge en Van Nieuwenhuizen-Wijbenga opdracht gegeven om de aansluiting per direct op te schorten. “Mocht deze testaanbieder weer aangesloten willen worden, dan zal dat niet eerder gebeuren dan nadat zowel door de aanbieder zelf een audit kan worden overlegd en zullen wij zelf ook een pentest laten uitvoeren”, aldus de ministers.

Ze erkennen dat de situatie ‘bijzonder vervelend’ is voor Nederlanders die op het punt staan om met vakantie te gaan en zich hebben laten testen door Testcoronanu. Om hen uit de brand te helpen heeft het kabinet het bedrijf verzocht om op korte termijn hun testuitslag op een andere wijze te verstrekken (bijvoorbeeld op papier). Reeds uitgegeven QR-codes blijven geldig.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen