Datalek in Infectieradar maakte achterhalen van coronasymptomen mogelijk

Datalek in Infectieradar maakte achterhalen van coronasymptomen mogelijk

De website waarop Nederlanders kunnen aangeven of ze coronasymptomen hebben bevatte een lek. Daarmee was het eenvoudig om de medische data van deelnemers op te vragen. Dat kon door simpelweg de url van de Infectieradar te veranderen, meldt een beveiligingsonderzoeker aan de NOS.

Het gaat om Infectieradar, een website van het Rijksinstituut voor Volksgezondheid en Milieu. Op de website kunnen Nederlanders symptomen rapporteren die met het coronavirus te maken hebben. Op die manier kan het RIVM de verspreiding van de ziekte in de gaten houden. Het datalek maakte het mogelijk die symptomen van gebruikers op te vragen.

Deelnemers van Infectieradar krijgen een uniek id toegewezen dat uit acht cijfers bestaat. Wie een vragenlijst op de site invult kreeg dat nummer in de url-balk te zien. Beveiligingsonderzoeker Tom Wolters ontdekte dat dat cijfer in de url simpel kon worden vervangen. Door dat te veranderen kreeg hij het formulier van andere deelnemers te zien.

Dat werkte ook geautomatiseerd. Wolters stapte met zijn bevindingen naar de NOS. Samen lukte het hen om binnen zo’n twee minuten de gegevens van 44 gebruikers te achterhalen. In totaal deed de NOS 128 verzoeken naar de servers achter de site.

Een aanvaller kan geen namen van deelnemers zien, maar wel e-mailadressen, geboortejaren en postcodecijfers. De acht cijfers van het id werden volgens de NOS gerangschikt op e-mailadres. Daardoor zou het ook eenvoudig zijn gericht te zoeken naar gebruikers.

Lees hier verder. © Tweakers.net

Peter Hickendorff

Reacties zijn gesloten.