Datalek testaanbieder: iedereen kon alles zien.

Door een datalek bij een COVID-19 testbedrijf was het mogelijk voor mensen die toegang hadden tot de CoronaCheck om reis en testbewijzen in te zien, manipuleren en vervalsen.

Datalek: mensen konden valse QR-codes en toegangsbewijzen genereren

Dat blijkt uit onderzoek van RTL-nieuws. Het lek zit bij Testcoronanu, een testbedrijf met tien locaties in Nederland en drie in België.

Het bedrijf is een initiatief vanuit de overheid en wordt dus ook vanuit de overheid aangeraden en gesubsidieerd.

Hierdoor hadden gebruikers met gemak toegang tot de coronadatabase. Gebruikers konden zelfs een valse, maar toch geldige testbewijs genereren, al was je wel of niet gevaccineerd.

Datalek veroorzaakt door rechtenprobleem.

Volgens RTL-nieuws was het mogelijk voor gebruikers om de database in te zien. Hier stonden alle gegevens wat het bedrijf nodig had om geldige QR-codes te genereren. Gebruikers kunnen deze QR-codes bijvoorbeeld gebruiken om op vakantie te gaan of om een evenement te bezoeken.

Om verder op in te gaan op het datalek; gebruikers hadden te veel rechten waardoor zij via hun browser verschillende commando’s konden gebruiken om meer toegang te krijgen binnen de databaseomgeving. Hierdoor konden zijn informatie oplezen, verwijderen, aanpassen, manipuleren en uiteindelijk ook te vervalsen.

Hierdoor konden malafide gebruikers ook valse QR-codes en reisbewijzen genereren.

Het ministerie van VWS gaat een onderzoek inzetten hoe het bedrijf als betrouwbare partner beschouwd kon worden. Vooral omdat het gaat om medische data is dit vooral belangrijk voor de overheid. Testbedrijven moeten vooral belangrijke processen, beleid en documentatie opstellen en delen met de overheid. Hierdoor kan de overheid goed inschatten of het betreffende bedrijf zijn zaken op orde heeft.

Een tweede datalek door e-mail

Het bedrijf heeft ook alle gedupeerde mensen moeten berichten dat er een datalek is geweest binnen het bedrijf. Het zou goed mogelijk zijn dat ook hun gevoelige data in te zien was.

Door de AVG is het daarbij ook verplicht om dit zo snel mogelijk te melden bij gedupeerde. Het bedrijf heeft echter hierdoor weer gezorgd voor een datalek. Door een algemene e-mail te versturen en alle ontvangers te vermelden in de “CC” veld. Waardoor iedereen die de e-mail ontvangt ook alle andere ontvangers kan identificeren.

Dit is een datalek die de AVG zeer serieus neemt en ook hiervoor boetes heeft uitgedeeld.

Lees hier meer over hou je jezelf kunt beschermen.

Deel dit bericht

Share on facebook
Facebook
Share on linkedin
LinkedIn

Ontdek meer

Afbeelding die kantoorruimte met printer illustreert
Nieuws

Kwetsbaarheid in HP Printers.

Een groot aantal verschillende printers van het merk HP zijn deze week voorzien van een beveiligingsupdate. Cybercriminelen konden via een kwetsbaarheid bij HP printers misbruiken om deze over te nemen. Het was zelfs mogelijk voor criminelen om toegang te krijgen tot het geheugen van de printer. Hierin zijn belangrijke documentatie zoals identificatiebewijzen, bankafschriften en andere gevoelige persoonsgegevens opgeslagen.

Nieuws

Datalek testaanbieder: iedereen kon alles zien.

Door een datalek bij een COVID-19 testbedrijf was het mogelijk voor mensen die toegang hadden tot de CoronaCheck om reis en testbewijzen in te zien, manipuleren en vervalsen.