Datalek testbedrijf: iedereen kon valse toegangsbewijzen in app Coronacheck krijgen
Een bedrijf dat coronatesten uitvoert is afgesloten van het systeem met de app CoronaCheck, vanwege een lek in de database van het bedrijf. Dat bevestigt het ministerie van Volksgezondheid, na berichtgeving van RTL Nieuws. De Autoriteit Persoonsgegevens (AP) heeft het bedrijf, Testcoronanu, gezegd dat het meteen moet stoppen met het testen. Lees verder bij de Stentor.
Het lek deed zich voor bij Testcoronanu, dat tien locaties in Nederland en drie in België heeft. Het bedrijf heeft ruim 60.000 klanten.
De frontend van de website communiceert direct met Googles database Firestore. En je kan dus vanuit de browser direct de database raadplegen. pic.twitter.com/fMHd0frpWL
— Daniël Verlaan (@danielverlaan) July 18, 2021
Dat is natuurlijk al ernstig, maar de vraag is: kun je zelfs de data manipuleren? Geeft hun Firestore aan iedereen write-toegang zodat je zelf gegevens kunt aanpassen?
Ik zette de datum van mijn testafspraak op vandaag en het resultaat op negatief. En poef: ik zag dit: pic.twitter.com/4ufv8EjpjR
— Daniël Verlaan (@danielverlaan) July 18, 2021
Ik voerde de code in op CoronaCheck, maar ik krijg een error. Het lukte niet. Na wat speuren in de code zag ik dat ik deze value had gemist:
mustBeVerified: true
Ik schreef 'm weg naar de database en voila: daar was mijn geldige coronabewijs in CoronaCheck. pic.twitter.com/ItgQ7Sx9av
— Daniël Verlaan (@danielverlaan) July 18, 2021
Testcoronanu is met name populair omdat veel influencers er een test laten doen en die beelden op Instagram delen.
Deze influencers hebben gezamenlijk miljoenen volgers. De paar queries lieten dan ook vooral jongere mensen zien waarvan hun gegevens zijn gelekt. pic.twitter.com/WtSI7nwbbz
— Daniël Verlaan (@danielverlaan) July 18, 2021
De bij CoronaCheck aangesloten bedrijven moeten documenten bij VWS aanleveren waaruit blijkt dat ze "aan de hoogste dataveiligheids- en privacyeisen voldoen".
De AP gaat bij VWS om opheldering vragen hoe zo'n grove fout niet is gespot voordat ze toegang kregen tot CoronaCheck.
— Daniël Verlaan (@danielverlaan) July 18, 2021
En wellicht ten overvloede: maar ik fuck niet around.
De stroom aan reacties, ook vanuit de door mij gewaardeerde infosec-community, die mij de afgelopen dagen betichtten van 'onzin', 'lulkoek', 'angst zaaien met een nep-app' en weet ik veel wat; dit onderzoek is mijn reactie.
— Daniël Verlaan (@danielverlaan) July 18, 2021
update: bij het melden van het datalek lukt het Testcoronanu om opnieuw een datalek te veroorzaken, door alle emailadressen van de mensen die vandaag een test zouden hebben in de CC te zetten.
(ik werk niet voor De Speld) pic.twitter.com/Vtl97r4nzJ
— Daniël Verlaan (@danielverlaan) July 18, 2021