Door een lek bij een testbedrijf kon iedereen die daar technisch handig genoeg in was valse reis- en toegangsbewijzen aanmaken in de CoronaCheck app. Daarnaast hadden hackers en cybercriminelen door het lek toegang tot de privé- en persoonsgegevens van 60.000 Nederlanders. Uit voorzorg zijn alle testlocaties gesloten en is de website offline gehaald. Het ministerie van Volksgezondheid, Welzijn en Sport heeft het testbedrijf afgesloten van zijn systemen. De Autoriteit Persoonsgegevens is op de hoogte gebracht van het datalek en gaat het ministerie om opheldering vragen. Dat blijkt uit onderzoek van RTL Nieuws.
Het gaat om Testcoronanu. Het bedrijf, met tien testlocaties in Nederland en drie in België, is aangesloten bij het initiatief Testenvoorjereis.nl. Nederlanders die deze zomer in Europa of daarbuiten op vakantie gaan, moeten aantonen dat ze volledig zijn gevaccineerd, een negatieve PCR-testuitslag hebben of onlangs corona hebben gehad (antigeentest). Zonder een van deze drie bewijzen kom je het land niet in. Veel Nederlanders hebben een coronatest afgenomen bij Testcoronanu.
Het lek was kinderlijk eenvoudig uit te buiten. Het enige dat je hoefde te doen is twee regels code in je webbrowser in te voeren. Je vult de gewenste gegevens en in krijgt een geldig vaccinatiebewijs in de CoronaCheck app, zonder dat je daadwerkelijk bent gevaccineerd of getest, of onlangs hersteld bent van corona.
Het aanpassen van een testuitslag is niet alleen levensgevaarlijk voor de volksgezondheid: het coronavirus wordt immers geen strobreed in de weg gelegd en kan zich ongeremd verder verspreiden. Het ondermijn ook het vertrouwen in de applicatie die de Rijksoverheid heeft laten ontwikkelen. Hoogleraar microbiologie van het Universitair Medisch Centrum Groningen Bert Niesters noemt CoronaCheck ‘waardeloos’ tegenover RTL Nieuws.
“Enige vorm van betrouwbaarheid is nu helemaal weg. Er was al bij deze app geen goede controle aan de deur en nu ook de besmettingen door de Delta-variant ontzettend stijgen, is het totaal onverantwoord om deze app nog te gebruiken voor evenementen waar geen anderhalve meter kan worden gehouden. Deze app is eigenlijk waardeloos.”
Door het lek kon je niet alleen gegevens in je eigen voordeel aanpassen. Het gaf tevens toegang tot de privé- en persoonsgegevens van ruim 60.000 Nederlanders. RTL Nieuws zegt dat ze inzage had in volledige namen, woonadressen, e-mailadressen, telefoonnummers, burgerservicenummers (BSN), paspoortnummers en medische gegevens. Hackers en internetcriminelen jagen voortdurend op dit soort gegevens. Hoe meer data ze bezitten, hoe geloofwaardiger ze overkomen als ze nietsvermoedende slachtoffers proberen te bedonderen. Ze gebruiken deze gegevens voor phishing en om identiteitsfraude te plegen.
Hoogleraar ICT & Recht aan de Radboud Universiteit Nijmegen Frederik Zuiderveen Borgesius noemt het datalek dan ook ‘heel schokkend’. “Veel gevoeliger dan dit wordt het niet. Dit is juist waar medische privacy voor is: dat mensen zich durven te laten testen omdat ze erop moeten kunnen vertrouwen dat hun gegevens veilig zijn. Je merkt dat dit nog niet voldoende leeft bij partijen die sinds kort massaal de testindustrie zijn ingestapt, en daardoor gaat het nu zo mis.”
Het lek ontstond doordat de toegang tot de database van Testcoronanu wagenwijd openstond. Het bedrijf maakte gebruik van Googles databasesysteem Firestore. Normaal gesproken is deze omgeving afgeschermd zodat niet iedereen met een internetverbinding toegang heeft. Dat was hier niet het geval. RTL slaagde erin om zijn eigen gegevens aan te passen en een negatief testbewijs te krijgen. Via de CoronaCheck app werd deze omgezet in een geldige QR-code met groengekleurde achtergrond.
Dat iedereen met een internetverbinding kon rondsnuffelen in en aanpassingen kan aanbrengen aan de database van Testcoronanu, is volgens Dave Maasland van cybersecuritybedrijf ESET “één van de grootste fouten die je kunt maken”. “Je gaat je afvragen: wie hebben er allemaal nog meer op deze manier misbruik van gemaakt?”
Het ministerie van Volksgezondheid, Welzijn en Sport zegt tegenover RTL Nieuws dat ze ‘geen signalen’ heeft dat anderen toegang hebben gehad tot de gegevens in de database. “Naast het dichten van het lek door de aanbieder hebben we gelijk ingezet op het vinden van een oplossing voor reizigers wiens test nu niet door kan gaan of die nog wachten op een testuitslag”, zo laat een woordvoerder weten.
De Autoriteit Persoonsgegevens noemt het datalek ‘zeer ernstig’. Het bedrijf mag pas weer aan de slag en persoonsgegevens verwerken als ze de veiligheid en betrouwbaarheid kan garanderen. De toezichthouder gaat het ministerie van Volksgezondheid om opheldering vragen. Eén van de dingen die de privacywaakhond wil weten is hoe Testcoronanu een officiële partner van de overheid heeft kunnen worden. “Mensen moeten er vanuit kunnen gaan dat de overheid dit goed en veilig regelt”, aldus een woordvoerder.
Testcoronanu sloot uit voorzorg alle testlocaties toen ze lucht kreeg van het lek. De website om een testafspraak te maken is offline gehaald om het lek te dichten. Het bedrijf belooft alle gedupeerden vandaag nog te informeren over het datalek. Iedereen die een afspraak hadden staan bij Testcoronanu, wordt verzocht om een nieuwe afspraak te maken bij een andere aanbieder via de site Testenvoorjereis.nl.
Update: Testcoronanu gaat opnieuw de fout in. Iedereen die vandaag een afspraak had voor een coronatest, ontving een e-mail met daarin de boodschap dat de afspraak niet door kon gaan in verband met het lek. Maar in plaats van de e-mailadressen in de bcc-regel te plaatsen, werden ze gekopieerd naar de cc-regel, zo meldt techjournalist Daniël Verlaan op Twitter. Daardoor zijn de mailadressen voor iedereen zichtbaar. Daarmee heeft Testcoronanu binnen een etmaal twee datalekken op haar naam staan.
Een woordvoerder van het ministerie van Volksgezondheid, Welzijn en Sport zegt tegen RTL Nieuws dat alles op orde was bij het bedrijf, en dat ze daarom toegelaten werd tot het testsysteem van de overheid. “Uit een goede pentest had deze kwetsbaarheid moeten blijken. We gaan onderzoek doen naar hoe deze kwetsbaarheid niettemin heeft kunnen bestaan bij de aanbieder. Indien nodig zullen de aansluiteisen van CoronaCheck worden aangescherpt”, zo vertelt de woordvoerder.
Hij zegt dat het ministerie na berichtgeving over Testcoronanu is gecontroleerd of een vergelijkbare kwetsbaarheid bij andere aanbieders in het systeem zat. Dat bleek niet het geval.