De Jonge lanceert bug bounty-programma voor CoronaMelder

Vrouw met mondmasker houdt smartphone vast in haar handen

Minister Hugo de Jonge van Volksgezondheid, Welzijn en Sport (VWS) geeft een update over de CoronaMelder-app. Hij belooft ook in de nabije toekomst in te zetten op mogelijke risico’s op het gebied van informatiebeveiliging en privacybescherming intensief te bewaken en onderzoeken. Ook komt er een bug bounty-programma waar de IT-community fouten in de app kan melden.

Dat schrijft minister De Jonge in een brief aan de Tweede Kamer. Daarin geeft hij de Kamerleden een update over de bestrijding van het coronavirus. Eén van de aspecten waar de minister uitgebreid bij stilstaat, is de digitale ondersteuning.

CoronaMelder werkt op oudere iPhones dankzij nieuwe update

Allereerst meldt minister De Jonge dat Apple een nieuwe update heeft uitgebracht voor het Exposure Notification Framework, die de basis vormt voor CoronaMelder. Dankzij de nieuwe update oudere iPhone-modellen nu ook uit de voeten met de corona-app. Tot voor kort was de iPhone 6S het oudste model dat ondersteuning bood aan CoronaMelder. Na deze update kan ook iedereen die met een iPhone 5S rondloopt de applicatie op zijn of haar smartphone installeren. De aankomende weken worden de benodigde technische aanpassingen gedaan om CoronaMelder geschikt te maken voor deze telefoons.

De Jonge lanceert deze maand bug bounty-programma voor CoronaMelder

Informatiebeveiliging en privacybescherming zijn in de ogen van minister De Jonge twee belangrijke pijlers voor CoronaMelder. Om die reden worden deze beginselen sinds de landelijke introductie van de corona-app vorig jaar oktober intensief bewaakt en onderzocht. Op verzoek van de minister heeft adviesbureau Noordbeek deze aspecten van de app grondig onderzocht. Uit deze analyse blijkt dat er geen kritieke risico’s kleven aan CoronaMelder op het gebied van informatiebeveiliging en privacy.

Maar waar gewerkt wordt vallen spaanders. Met dat in het achterhoofd heeft minister De Jonge een bug bounty-programma voor CoronaMelder aangekondigd. Ontwikkelaars en andere actieve leden in de IT-community kunnen beveiligingsrisico’s en bugs opsporen in de corona-app en deze doorgeven aan het ministerie van VWS. Afhankelijk van de ernst krijgen zij hiervoor een financiële beloning. Details hierover worden aankomende week bekendgemaakt op de website coronamelder.nl. Het bug bounty-programma start op woensdag 20 januari om 13:37.

Leuk om te weten: het tijdstip 13:37 is niet voor niets gekozen. In de IT- en gaming community wordt het getal 1337 gebruikt om iemand de hemel in te prijzen voor zijn kennis of vaardigheden. Met een beetje fantasie kun je in het getal ‘leet’ lezen, wat bij IT’ers en gamers een veelgebruikte afkorting is voor ‘elite’. Oftewel, een topspeler of topprogrammeur.

Weinig meldingen bij landelijk meldpunt CoronaMelder

Vlak na de landelijke uitrol van CoronaMelder, lanceerde minister De Jonge een meldpunt voor CoronaMelder. App-gebruikers die met vragen zaten of het donkerbruine vermoeden hadden dat er sprake was van misbruik, konden dit doorgeven aan het meldpunt. Dan kun je denken aan een werkgever die van zijn werknemers eist dat ze de app op hun smartphone installeren, inzage eisen in de app of personeel financiële voor- of nadelen biedt bij het al dan niet installeren. Het meldpunt wordt beheerd door de Inspectie Gezondheidszorg en Jeugd (IGJ).

Sinds het meldpunt actief is, zijn er negen vragen binnengekomen. Eén melding ging over mogelijk misbruik van CoronaMelder. Details hierover geeft minister De Jonge niet in zijn brief. Hij meldt enkel dat deze melding is doorgezet naar de Inspectie Sociale Zaken en Werkgelegenheid (Inspectie SZW).

De Jonge: ‘CoronaMelder bereikt meer en sneller mensen’

Het is inmiddels dertien weken geleden dat CoronaMelder landelijk werd geïntroduceerd. In die periode is de applicatie ruim 4,4 miljoen keer gedownload (Android en iOS tezamen). Tot begin deze week hebben 94.241 mensen via de app doorgegeven dat ze positief zijn getest op corona. De minister laat de app voortdurend evalueren. Uit het meest recente onderzoek blijkt volgens De Jonge dat CoronaMelder meer en sneller mensen bereikt.

“CoronaMelder vindt sneller meer mensen, aanvullend op het reguliere bron- en contactonderzoek”, schrijft minister De Jonge in zijn brief aan de Tweede Kamer. “Daarnaast laten deze resultaten zien dat er geen grote onvoorziene maatschappelijke effecten zijn opgetreden na introductie van de app op 10 oktober.”

CoronaMelder populair bij ouderen en hoger opgeleiden

Er is wel een duidelijk verschil te zien in wie de app wel en niet installeert op zijn smartphone. Senioren (55-plussers), mensen met een hoger inkomen en mensen met een opleiding in het hoger beroepsonderwijs of wetenschappelijk onderwijs gebruiken CoronaMelder het vaakst. Jongeren tussen de 15 en 24 jaar oud en burgers met alleen basisonderwijs of VMBO gebruiken de app naar verhouding het minst. De minister belooft om de komende periode specifieke aandacht te besteden aan deze groepen in de communicatie- en informatievoorziening.

Update (21 januari 2021): het bug bounty-programma van minister De Jonge is inmiddels live gegaan. In tegenstelling tot vergelijkbare programma’s die door het bedrijfsleven worden gehanteerd, is het bug bounty-programma van de Nederlandse corona-app CoronaMelder niet open, maar besloten.

Tweakers.net schrijft dat het ministerie van Volksgezondheid, Welzijn en Sport een samenwerking is aangegaan met het Nederlandse Zerocopter. Dat bedrijf heeft zijn eigen bug bounty-platform. Ontwikkelaars en hackers kunnen hier niet zomaar bugs melden, maar moeten zich hiervoor eerst per e-mail aanmelden. “Alle ethisch hackers die aangesloten zijn op ons platform worden gecontroleerd op vaardigheden, reputatie en het vermogen om een duidelijk rapport in te dienen. Daarnaast doen we ook een ID-verificatie voordat je toegang krijgt tot de bug bounty-programma’s”, zo verklaart Zerocopter.

Hackers die niet bij Zerocopter zijn aangesloten, kunnen bugs melden op de openbare GitHub-pagina. Daar is de broncode van CoronaMelder te vinden.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen