Man rijdt in auto met mondmasker om zich tegen het coronavirus te beschermen

Minister De Jonge: ‘Ontwikkelaar wist niet van datalek Infectieradar.nl’

Laatst bijgewerkt: 20 juli 2020
Leestijd: 4 minuten, 53 seconden

Minister van Volksgezondheid, Welzijn en Sport Hugo de Jonge komt terug op eerdere uitspraken. Eerder meldde hij aan de Tweede Kamer dat het bedrijf dat verantwoordelijk is voor de ontwikkeling van Infetcieradar.nl op de hoogte was van het datalek, maar vergat deze te dichten. Nu zegt de minister dat dit niet het geval was.

Dat schrijft De Jonge aan de Tweede Kamer.

Infectieradar.nl bevatte een ernstig datalek

Het kabinet doet er alles aan om het coronavirus te bestrijden. Eén van de initiatieven is de website Infectieradar.nl. Deelnemers vullen een vragenlijst in die gaat over hun gezondheid en medische achtergrond. Het idee achter de website is dat als er ergens in Nederland het virus de kop opduikt, de overheid lokale of regionale maatregelen kan nemen om de uitbraak de kop in te drukken. Kortom, maatwerk bieden in plaats van landelijk geldende maatregelen op te leggen.

Aangezien deelnemers persoonlijke en privacygevoelige data invullen op Infectieradar.nl, mag je er van uitgaan dat de beveiliging goed op orde is. Dat bleek niet het geval te zijn. NOS-redacteur Joost Schellevis en beveiligingsonderzoeker Tom Wolters ontdekten dat de site een datalek bevatte. Dat is op zich al schrikken natuurlijk. Maar het ergste was dat je niet technisch onderlegd hoefde te zijn om het lek te misbruiken. Het enige dat je hoefde te doen was een paar getallen veranderen in de URL-balk.

Hierdoor belandde je op de pagina van een andere deelnemer en kon je precies zien wat hij of zij had ingevuld. Tevens waren persoonlijke gegevens van deze persoon toegankelijk, zoals postcode, geboortejaar en e-mailadres, maar ook diens medische voorgeschiedenis. En met een beetje zoekwerk is het eenvoudig om de identiteit van deze persoon te achterhalen. Volgens het Rijksinstituut voor Volksgezondheid en Milieu (RIVM), de instantie die opdracht gaf om de Infectieradar.nl te ontwikkelen, zijn er geen aanwijzingen dat het lek misbruikt is voor identiteitsfraude.

‘Lek was bekend bij de ontwikkelaar’

Minister De Jonge werd door de Tweede Kamer op het matje geroepen om tekst en uitleg te geven over het datalek. Hij betreurde dat de beveiliging van de website niet optimaal was, maar benadrukte dat er geen privacygevoelige informatie was buitgemaakt. Het lek was volgens de minister veroorzaakt door een ‘menselijke fout’. Sterker nog, volgens De Jonge was Formdesk, dat verantwoordelijk was voor de ontwikkeling van de site, ervan op de hoogte. Tegenover de Tweede Kamer zei de minister:

“Bij het ontwikkelen van die site zijn er juist wel veiligheidschecks gedaan. Pentests, waarbij ook dit als één van de veiligheidsrisico’s in beeld is gekomen. Vervolgens is daar een oplossing voor aangedragen die Formdesk moest doorvoeren (…) Er is gevraagd aan Formdesk om een oplossing te verzinnen. Deels is dat overgenomen en deels niet. En vervolgens is er verzuimd om daarop een dubbelcheck uit te voeren. Er is gewoon vergeten een dubbelcheck uit te voeren daar waar die wel had moeten plaatsvinden.”

Marco Beuk, algemeen directeur van Formdesk, reageerde verbaasd op de uitspraken van de minister. Hij zei onder meer “geen idee” te hebben hoe de minister erbij kwam dat hij op de hoogte was van het lek. Het leidde tot grote verontwaardiging in de Tweede Kamer. Voor VVD-Kamerlid Hayke Veldman was dit aanleiding om hier schriftelijke vragen over te stellen. Inmiddels heeft hij antwoord gekregen van minister De Jonge.

RIVM was verantwoordelijk voor doorvoeren beveiligingsmaatregel

Daarin schrijft minister De Jonge dat voor de ingebruikname verschillende veiligheidsanalyses zijn gemaakt, evenals een Privacy Impact Assessment (PIA). Bij deze analyses zijn meerdere veiligheidsrisico’s aan het licht gekomen, waaronder URL-manipulatie. Aanvankelijk meldde De Jonge dat Formdesk verantwoordelijk was voor het oplossen van het probleem. In werkelijkheid gaf het bedrijf tips aan het RIVM hoe misbruik van URL-gegevens vermeden kon worden.

“Het RIVM heeft de maatregelen genomen die Formdesk heeft geadviseerd”, zo schrijft de minister. Hij zegt dat “de feitelijke rolverdeling tussen RIVM en Formdesk” afwijkt van hetgeen hij op 9 juni aan de Tweede Kamer meldde. “Toen heb ik, op basis van informatie van het RIVM, gemeld dat Formdesk de maatregel moest doorvoeren. Bij nader onderzoek is gebleken dat, zoals hierboven beschreven, het RIVM de maatregel heeft doorgevoerd die Formdesk heeft geadviseerd”, aldus De Jonge.

Een extra beveiligingstest had datalek kunnen voorkomen

Uit de antwoorden van de minister blijkt dat hij twee verschillende kwetsbaarheden door elkaar haalde. Voordat Infectieradar.nl live ging, waren de partijen op de hoogte van URL-manipulatie. Zoals gezegd is dat aangepakt door het RIVM. Later bleek op een andere plek in de software een kwetsbaarheid te zitten waardoor webadressen gemanipuleerd konden worden. Dit laatste heeft uiteindelijk geleid tot het datalek dat uitgebreid in het nieuws is geweest. Dit lek was niet eerder aan het licht gekomen en dus ook niet teruggekoppeld aan Formdesk. Volgens de minister had dit voorkomen kunnen worden door een extra beveiligingstest uit te voeren.

Op de vraag of de minister zijn uitspraak kon onderbouwen dat Formdesk op de hoogte was van het lek, antwoordt hij het volgende:

“Ik heb aangegeven dat de leverancier van Formdesk op de hoogte was van het risico dat uit de risico-analyse van het RIVM naar voren is gekomen. Dit risico is door het RIVM en de leverancier van Formdesk besproken naar aanleiding van de uitgevoerde risico-analyse. De leverancier van Formdesk heeft RIVM aangegeven hoe dit risico vermeden kon worden. RIVM heeft de maatregelen genomen die Formdesk heeft geadviseerd. Achteraf is gebleken is dat elders in de software een kwetsbaarheid aanwezig was, en dat daardoor een daadwerkelijk lek is ontstaan.”

Kon de minister zijn opmerking onderbouwen dat Formdesk een steek heeft laten vallen? Het antwoord op deze vraag is ‘nee’. Uit het antwoord van De Jonge blijkt dat hij twee zaken door elkaar haalde.

Direct nadat het datalek was aangetoond, heeft het RIVM Infectieradar.nl offline gehaald. De website wordt nu van de grond af opnieuw gebouwd. Naar verwachting is de site na de zomer weer online.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen