Ministerie doet aangifte tegen site met valse QR-codes
Het ministerie van Volksgezondheid doet aangifte tegen een site waar op eenvoudige wijze een vals coronatoegangsbewijs kon worden ingeladen. De site toonde de QR-codes in een nagemaakte coronacheck-app, waarbij ook de fietsende en skatende mensen te zien zijn die de reguliere app toont. Met het blote oog is de site nauwelijks van echt te onderscheiden en de QR-codes werken, blijkt uit een steekproef door de NOS.
Het gaat om legitieme QR-codes die door andere gebruikers zijn gedeeld. Ook de initialen en de geboortemaand en -dag worden bij de codes vermeld, zodat de gebruiker ervan die kan noemen als ernaar wordt gevraagd.
Techredacteur Joost Schellevis legt uit hoe het werkt:
De site staat niet op zichzelf: het ministerie stelt al langer te merken dat QR-codes worden uitgewisseld via onder meer de populaire chat-app Telegram. De bewuste site is inmiddels offline. Om welke reden is onduidelijk: het ministerie zegt de site niet offline te hebben gehaald.
Dit is ernstig. Je moet dit niet willen.
Hoeveel mensen met frauduleuze QR-codes bij cafés, restaurants en op andere plekken naar binnen proberen te gaan, is niet bekend. Demissionair minister De Jonge van Volksgezondheid noemt het misbruik in elk geval ernstig. "Je moet dit niet willen", zegt hij. "Het moet veilig zijn om in grote groepen bij elkaar te komen en zo'n QR-code moet betekenen dat iemand genezen, gevaccineerd of getest is."
De aangifte, die het ministerie maandag gaat doen, richt zich ook op andere misbruikers van QR-codes. Ook heeft het ministerie een forensisch onderzoeksbureau in de arm genomen dat bewijsmateriaal verzamelt. "Dat kan worden gebruikt als het tot een strafrechtelijke procedure komt", laat een woordvoerder weten.
Ook is de CoronaCheck-app aangepast om QR-codes te kunnen blokkeren. Afgelopen week zijn dertien veel gedeelde QR-codes op de zwarte lijst gezet, wat betekent dat ze voor niemand weer werken: ook niet voor de 'eigenaar' van de QR-code. Die kan overigens wel weer een nieuwe QR-code aanmaken.
Legitimatie
Het aanmaken van een valse QR-code is in theorie niet genoeg om ergens binnen te komen: personeel van bijvoorbeeld cafés, restaurants en bioscopen moet ook vragen om legitimatie. In de QR-code zitten de initialen en in veel gevallen ook de geboortedatum van de 'eigenaar' van de code verwerkt.
Als om legitimatie wordt gevraagd, is de kans op grootschalige fraude minimaal: er zijn 250.000 combinaties mogelijk van initialen en geboortedag en - maand. Maar hoe goed er daadwerkelijk wordt gecontroleerd op legitimatie, is niet bekend.
Wel bleek vandaag uit onderzoek van I&O Research in opdracht van de NOS dat de controle op de coronapas zelf gebrekkig is. Sommige respondenten in dat onderzoek klagen ook over geringe controle op legitimatie, maar exacte cijfers zijn er niet. Ook de Vereniging van Nederlandse Gemeenten en het Veiligheidsberaad hebben daar geen cijfers over.
'Niet zo vreemd'
"Het is echt belangrijk dat aan de poort de controle goed is en niet alleen naar de QR-code wordt gekeken, maar ook naar de legitimatie. Dat hoort bij elkaar", zegt De Jonge. "Je kunt niet met een van beide naar binnen. Het moet nu even."
Robèr Willemsen van Koninklijke Horeca Nederland noemt het echter begrijpelijk dat de legitimatie niet altijd wordt gecontroleerd. "Niet elke medewerker van een horecagelegenheid is daar ook toe bevoegd, dus als de lunchroom niet op legitimatie controleert vind ik dat niet zo vreemd."
Maatregelen
Het ministerie heeft eerder maatregelen genomen tegen het delen van QR-codes: zo verlopen de codes in de app na een paar minuten, zodat het doorsturen niet werkt. De 'papieren' QR-codes, die kunnen worden uitgeprint, verlopen echter pas na een jaar.
In dit geval lijken de makers van de nagemaakte CoronaCheck-app printcodes en buitenlandse QR-codes in de nagemaakte app te hebben verwerkt. Printcodes zijn op zichzelf niet te onderscheiden van de QR-codes die in de app worden getoond. Hetzelfde geldt voor buitenlandse QR-codes die met de Nederlandse scanner-app worden gescand.
De makers van de site maken het gebruiken van vervalste codes bewust mogelijk: "Wat is hij mooi hè, artikel 1 van de grondwet", valt op de site te lezen. "Volgens dat artikel is degene die iemand de toegang weigert strafbaar."
