Het gebouw van het RIVM in De Bilt

Lek in RIVM-coronasite: gegevens van gebruikers makkelijk in te zien

  • Joost Schellevis

    redacteur Tech

  • Joost Schellevis

    redacteur Tech

De site Infectieradar, waar Nederlanders kunnen doorgeven of ze de afgelopen week coronaklachten hebben gehad, bevatte een ernstig datalek. Iedereen met enige technische vaardigheid kon tot vanmorgen zien wat andere deelnemers antwoordden op persoonlijke en medische vragen.

Dat blijkt uit onderzoek van de NOS in samenwerking met beveiligingsonderzoeker Tom Wolters. "Het was heel eenvoudig om data van andere mensen uit te lezen", aldus Wolters.

Na melding door de NOS heeft het RIVM de vragenlijsten zaterdagochtend uit de lucht gehaald. "We zijn het probleem nu aan het oplossen. Het gaat om een lek in externe software", laat een woordvoerder weten. Aanmelden kan nog wel, maar wanneer het invullen van vragenlijsten weer mogelijk is, is niet bekend.

Bekijk hier de uitleg van techredacteur Joost Schellevis en de reactie van het RIVM:

Datalek in coronasite RIVM: 'Hier schrik ik van'

Het lek bestond al sinds de introductie van Infectieradar op 17 maart. "Maar we leegden de nieuw ingevulde formulieren wel elke dag", zegt de RIVM-woordvoerder. Wie het lek dus pas vandaag ontdekte, kon de formulieren van langer dan een dag geleden niet meer downloaden.

Maar wie er op 17 maart achterkwam, zou sindsdien de tienduizenden aanmeldingen hebben kunnen inzien. Of dat is gebeurd, is niet bekend.

Medische vragen

Zo'n 60.000 Nederlanders doen mee aan Infectieradar, waarmee het RIVM in de gaten wil houden hoe het coronavirus zich verspreidt. RIVM-directeur Jaap van Dissel riep mensen deze week op om zich te blijven aanmelden; het liefst zou hij 100.000 aanmeldingen zien.

Deelnemers geven bij hun aanmelding antwoord op medische vragen, zoals of ze zwanger zijn, waarvoor ze medicijnen gebruiken, of ze roken en of ze allergieën hebben. Ook geven ze eenmaal per week door of ze corona-gerelateerde klachten hebben. Maar het formulier waarmee al die informatie wordt doorgegeven, bleek dus niet beveiligd.

Corona-vragenlijst RIVM

Iedere deelnemer aan de Infectieradar krijgt een uniek nummer van acht cijfers. Bij het invullen van de vragenlijst was dat nummer te zien in de adresbalk. Als je dat nummer veranderde, dan kreeg je het formulier van iemand anders. "Dat probleem komt vaak voor, maar is heel makkelijk te voorkomen", zegt onderzoeker Wolters.

Hoewel het RIVM deelnemers niet om hun naam vraagt, waren e-mailadres, geboortejaar en de cijfers van de postcode wel zichtbaar. Daarmee is het in veel gevallen mogelijk om de identiteit van deelnemers te herleiden.

Identiteitsfraude

Een aanvaller zou geautomatiseerd de data van alle nieuwe gebruikers kunnen binnenhalen. Uit een test van de NOS bleek dat binnen een paar minuten de antwoorden van 44 Infectieradar-gebruikers konden worden achterhaald.

Ook was het mogelijk om gericht naar de antwoorden van iemand op zoek te gaan: de nummers waren gerangschikt op het e-mailadres van de gebruiker. De antwoorden van Infectieradar-deelnemers zouden bijvoorbeeld kunnen worden gebruikt om ze gepersonaliseerde spam- en phishing-berichten te sturen. Hoe meer een oplichter van zijn slachtoffer weet, hoe geloofwaardiger hij zijn poging tot misleiding kan maken. Ook identiteitsfraude is een risico.

Of er misbruik is gemaakt van het softwarelek is onbekend. De afgelopen twee dagen is het in ieder geval twee keer misbruikt, laat het RIVM weten, maar daarbij gaat het waarschijnlijk om de tests van de NOS en onderzoeker Wolters.

Ongunstig moment

Het nieuws komt voor het ministerie van Volksgezondheid op een ongelukkig moment: later deze maand moet de corona-app van de overheid worden getest. Om de app succesvol in te zetten is het belangrijk dat een grote groep gebruikers de app genoeg vertrouwt om hem te installeren

Vorige maand bleek een andere overheidsapp bovendien ook al een lek te bevatten. Een gat in de NL Alert-app maakte het mogelijk om gebruikers van die app te volgen, bijvoorbeeld voor stalking.

"Dit is dan ook een signaal richting de overheid", zegt Wolters. "Ze moeten vooraf beter kijken naar mogelijke beveiligingsproblemen." Minister De Jonge van Volksgezondheid, verantwoordelijk voor het RIVM, wilde zaterdagmiddag niet reageren.

Deel artikel:

Advertentie via Ster.nl