Beheer

Security
Pentest legde lek bij Testcoronanu niet bloot

Pentest legde lek bij Testcoronanu niet bloot

Door lek bij testbedrijf kon onterecht negatief testresultaat worden aangemaakt in CoronaCheck.

© ministerie van VWS
19 juli 2021

Door lek bij testbedrijf kon onterecht negatief testresultaat worden aangemaakt in CoronaCheck.

Nederlanders hebben de afgelopen weken een vals reis-en toegangsbewijs kunnen aanmaken in de app CoronaCheck. Dat kwam door een lek bij Testcoronanu dat na een pentest niet naar boven kwam. Ook zijn privégegevens van 60.000 mensen die bij dit testbedrijf hebben getest gelekt. Dat meldt RTL Nieuws na onderzoek.

Na de melding van RTL Nieuws is het testbedrijf afgesloten van de systemen van het ministerie van VWS. Om gekoppeld te worden aan de CoronaCheckApp moeten bedrijven allerlei documenten aanleveren waaruit blijkt dat ze aan de hoogste dataveiligheids- en privacyeisen voldoen. Onder andere het doorstaan van een pentest maakt deel uit van die eisen. Het ministerie laat aan RTL Nieuws weten dat uit een pentest deze kwetsbaarheid had moeten blijken.

Toegang via frontend

Het testbedrijf maakt gebruik van de database Firestore van Google. Die database communiceerde direct met de frontend van de website, aldus techjournalist Daniël Verlaan die het lek blootlegde. Het was mogelijk om vanuit de browser direct de database te raadplegen. In die database stonden gegevens van alle mensen die een test hadden gedaan bij dit bedrijf. Het gaat om mailadressen, woonadres, telefoonnummers, BSN-nummers en paspoortnummers.

Naast het inzien van deze gebruikersgegevens wist Verlaan ook de gegevens aan te passen. Kinderlijk eenvoudig, noemde hij het. Door 2 regels code in de browser in te voeren, kon je je eigen negatieve testresultaat toevoegen. Daarna vul je zelf de juiste gegevens in en krijg je vervolgens een geldig bewijs in de CoronaCheck-app. Met dit bewijs kun je dus toegang krijgen tot evenementen of permissie om te reizen naar het buitenland.

Lees meer over
3
Reacties
Don van Riet (oud KPN strateeg) 19 juli 2021 12:38

Wij krijgen steeds te horen dat deskundigen op AI schaars en dus duur zijn, mij lijkt me gezien de veelheid aan softwarelekken, steeds frequentere ransomware aanvallen en ga zo maar door dat eerder voor beveiliging geldt. Dat we Fox-It gewoon in andere handen hebben laten overgaan was ook al zijn teken dat we niet (willen)opletten

Joost Makkenbouw 19 juli 2021 12:37

Tja, Google. Die neemt het niet zo nauw met privacy.

Bert Klomp 19 juli 2021 12:06

Als het lek kinderlijk eenvoudig was heb ik toch twijfels over de kwaliteit van de pentest.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.