Lek in RIVM-coronasite: gegevens gebruikers makkelijk in te zien
De site Infectieradar, waar Nederlanders kunnen doorgeven of ze de afgelopen week coronaklachten hebben gehad, bevatte een ernstig datalek. Dat meldt de NOS op basis van eigen onderzoek.
Iedereen met enige technische vaardigheid kon tot zaterdagochtend zien wat andere deelnemers antwoordden op persoonlijke en medische vragen.
NOS deed het onderzoek in samenwerking met beveiligingsonderzoeker Tom Wolters. “Het was heel eenvoudig om data van andere mensen uit te lezen,” aldus Wolters.
Na melding door de NOS heeft het RIVM de vragenlijsten zaterdagochtend uit de lucht gehaald. “We zijn het probleem nu aan het oplossen. Het gaat om een lek in externe software,” laat een woordvoerder weten. Aanmelden kan nog wel, maar wanneer het invullen van vragenlijsten weer mogelijk is, is niet bekend.
Cijfer veranderen
Het lek bestond sinds het begin van de site Infectieradar, sinds 17 maart. Iedere deelnemer van de vragenlijst krijgt een uniek nummer van acht cijfers toebedeeld, dat te zien is in de adresbalk. Bij aanpassing van dat nummer kon het formulier van iemand anders worden ingezien. Onder meer e-mailadres, geboortejaar en postcodecijfers werden dan zichtbaar.
“Maar we leegden de nieuw ingevulde formulieren wel elke dag,” zegt een RIVM-woordvoerder tegen de publieke omroep. Iemand die van begin af aan op de hoogte was van het lek zou dan wel elke dag opnieuw gegevens van anderen hebben kunnen inzien. In totaal zou het om tienduizenden vragenlijsten gaan. Met de zichtbare gegevens is de identiteit van deelnemers in veel gevallen te herleiden. Of daarvan misbruik is gemaakt, is nog niet bekend.
