VWS: ‘Dit lek was met elke pentest gevonden’

July 22, 2021
6:12 pm

Apps, Browsers, Ministerie, Overheid, RTL, Security, van, VWS, Zorg

Het ministerie van VWS controleert niet met een eigen penetratietest (pentest) of de systemen van aanbieders van coronatests, die gekoppeld zijn met de Coronacheck-app, deugen. De verantwoordelijkheid voor die pentest ligt volledig bij de externe aanbieders. Dat vormt een flink risico voor de Coronacheck-app, dat de officiële verstrekker is van digitale testbewijzen. De procedure gaat mogelijk op de schop.

Bij een negatieve testuitslag stuurt een externe coronatestaanbieder deze naar de app van VWS die deze omzet in een QR-code waarmee iemand kan aantonen dat hij getest of gevaccineerd is en op reis kan of een evenement kan bezoeken.

Afgelopen weekend meldde RTL-nieuws dat door een lek bij aanbieder Testcoronanu het mogelijk was om valse reis- en toegangsbewijzen in de app Coronacheck te krijgen. Ook waren de privégegevens van ruim 60.000 mensen die bij dat bedrijf een coronatest deden, gelekt.
Een verslaggever kon na het maken van een afspraak via twee regels code in de webbrowser toegang krijgen tot de database van de coronatestaanbieder. Door schrijfrechten kon hij een eigen negatieve test toevoegen. Die data werd via een koppeling met de CoronaCheck-app van de overheid omgezet in een officieel digitaal testbewijs. Het toonde aan hoe mensen die niet getest zijn aan een negatief testbewijs kunnen komen.
VWS heeft de koppeling tussen de systemen van de CoronaCheck-app en coronatest-aanbieder Testcoronanu direct gestaakt nadat het lek bekend werd.

Stappenplan

“‘Dit lek was met elke pentest naar voren gekomen.’”

Volgens de woordvoerder van VWS zijn er rond de dertig commerciële aanbieders van coronatests aangesloten op de Coronacheck-app. Volgens hem gaat het in het geval van het datalek om een incident en zijn in de andere gekoppelde systemen geen kwetsbaarheden van die omvang aangetroffen. ‘Dit lek was met elke pentest naar voren gekomen.’ Er wordt nu onderzocht of er en zo ja, hoe, de pentest heeft plaatsgevonden.
Om die aansluiting tot stand te krijgen, moeten die partijen allerlei procedures volgen en documentatie voorleggen. Zoals beveiligings- en privacy-eisen en een pentest.
Het aansluiten op de app van de rijksoverheid verloopt volgens een strikt stappenplan, maar lijkt gezien het bekende beveiligingslek vooral een papieren tijger te zijn. In de lijst met antwoorden op veelgestelde vragen staat over de pentest dat de aanbieder verantwoordelijk is om kwetsbaarheden te beheersen (zie kader). Daarmee legt de overheid wel erg makkelijk de verantwoordelijkheid bij de andere partij, zeker in een tijd waarin steeds vaker wordt gewaarschuwd voor risico’s in de keten van partners en toeleveranciers.

NEN 7510

Op welke systemen en applicaties moet ik de pentesten uitvoeren?

De pentest moet u uitvoeren op alle systemen in de keten die van toepassing zijn voor de Coronacheck-app. Dit heeft in ieder geval betrekking op de applicatie die mensen gebruiken om afspraken te maken, voor het verwerken van testen en delen van uitslagen met de gebruiker. Een aanbieder is eindverantwoordelijk om de kwetsbaarheden van de systemen te beheersen die onderdeel zijn van de keten volgens NEN 7510.

Bron: Vragen en antwoorden over aansluiten op Coronacheck-app

Weer in de fout

Na het melden van het beveiligingslek meldde RTL-nieuws dat het gewraakte Testcoronanu opnieuw in de fout is gegaan met data en privacy. Er ontstond een nieuw datalek doordat alle mensen, die op de hoogte werden gesteld dat hun afspraak niet door ging, ‘in cc’ waren gezet. Daardoor waren alle mailadressen van mensen met een geannuleerde afspraak zichtbaar.

Leave a Reply Cancel reply

This site uses artificial intelligence and machine learning to reduce spam. See how your comment data is processed.

Navigation

Social Share

Background

The Rise of the Underground Offline World: Digital Smuggling Networks

Discover how digital smuggling networks around the world provide uncensored access to the digital world in areas where internet restrictions and censorship are in place. This article highlights the phenomenon of offline internet and illustrates it through examples such as the Cuban “paquete semanal” and the Havana Street Network.

28 May 2023 08:00

Gadgets

This significantly extends the lifespan of your phone battery.

How long do you typically use an Apple or Samsung smartphone? Often, the contracts that come with such devices run for two years, after which you have the option to enter into a new contract with a device. This is a waste and far from sustainable; the device is typically still in good condition after two years. Only the phone's battery will typically have decreased in quality after two years. This does not mean that you have to replace the entire device; simply replacing the battery of your Samsung phone may be sufficient to keep going for some time. Not only is this sustainable, but it is also more cost-effective! Battery replacement can start from 30 euros, depending on the Samsung model you have.

26 May 2023 07:00

Communicatie

The rise of e-SIMs: The end of the physical SIM card?

Discover how the rise of e-SIMs, or electronic SIM cards, is changing the way we switch mobile phone services. Learn more about the benefits, drawbacks, and future developments of this technology.

25 May 2023 06:00

Blog

The mystery of the gold pins: Why do cables and connectors have so many contacts?

Have you ever noticed that cables and connectors, such as USB sticks, HDMI cables, and graphics cards, have a large number of gold contacts? But why are so many needed? In this blog, we delve deeper into the reasons behind all these contacts and explain why they are crucial for electronic devices. Read on to discover more about the functions and significance of these mysterious gold pins.

24 May 2023 00:04