Datalek in Infectieradar RIVM, gegevens van gebruikers in te zien

Status
Niet open voor verdere reacties.

Quit

Steunend lid
Vip Lid
De Infectieradar van het Rijksinstituut voor Volksgezondheid en Milieu (RIVM), waar Nederlanders aan kunnen geven of ze last hebben van coronaklachten, bevatte een ernstig datalek. Dat blijkt zaterdag uit onderzoek van de NOS in samenwerking met beveiligingsonderzoeker Tom Wolters. Het RIVM heeft de database uit de lucht gehaald.

ectieradar-rivm-gegevens-van-gebruikers-in-te-zien.jpg


Volgens de NOS kon "iedereen met enige technische vaardigheid tot vanmorgen zien wat andere deelnemers antwoordden op persoonlijke en medische vragen".

Deelnemers aan de Infectieradar vullen wekelijks een formulier in waarbij ze aangeven welke klachten ze hebben. Hiermee kan het RIVM volgen hoe gezondheidsklachten verspreid zijn in Nederland en hoe zich dat ontwikkelt in de tijd.

Maar het formulier waarop mensen hun klachten invulden, bleek niet beveiligd. "Het was heel eenvoudig om data van andere mensen uit te lezen", aldus beveiligingsonderzoeker Tom Wolters.

'Lek bestond al sinds 17 maart'
Deelnemers aan de Infectieradar krijgen een uniek nummer van acht cijfers toegewezen. Bij het invullen van het formulier was dat nummer te zien in de adresbalk. Wie het nummer veranderde, kreeg een formulier te zien van een andere deelnemer. Onder meer e-mailadres, geboortejaar en postcodecijfers waren dan zichtbaar.

Het lek bestond al sinds de introductie van Infectieradar op 17 maart. Volgens het RIVM werden de nieuw ingevulde formulieren elke dag geleegd. Wie het lek pas vandaag ontdekte, kon de formulieren van langer dan een dag geleden niet meer downloaden. Maar wie op 17 maart al achter het lek kwam, zou tot nu toe alle aanmeldingen in hebben kunnen zien. Het is niet bekend of dat ook is gebeurd.

De NOS heeft het RIVM op het lek gewezen, waarop de database offline is gehaald. De leverancier van de software heeft een oplossing doorgevoerd die nu getest wordt, schrijft het RIVM op zijn website. Verder wordt onderzocht in hoeverre privacygevoelige informatie bekeken is.

Het is op dit moment niet meer mogelijk om vragenlijsten in te vullen. Wel kunnen mensen zich nog aanmelden voor de Infectieradar. Die gegevens worden volgens het RIVM in een ander systeem opgeslagen.

Bron: Nu.nl
 
Status
Niet open voor verdere reacties.
Terug
Bovenaan Onderaan