Datalek in RIVM-coronasite, gegevens gebruikers in te zien

Abonneer je gratis op Techzine!

Een datalek bij de coronawebsite van het RIVM heeft ervoor gezorgd dat de gegevens van gebruikers vrij in te zien waren. Het zou gaan om antwoorden die deelnemers gaven op bepaalde medische vragen, zo meldt de NOS.

Afgelopen weekend haalde het RIVM de betreffende site (de infectieradar) offline nadat het lek werd gemeld door de NOS en beveiligingsonderzoeker Tom Wolters. Volgens de organisatie ging het om een lek dat mogelijk werd gemaakt door externe software. De vragenlijst waarvan de gegeven antwoorden door andere gebruikers in te zien was, kan vanaf dat moment niet meer worden ingevuld.

De infectieradar werd medio maart gelanceerd, waarbij het RIVM middels een vragenlijst de verspreiding van het coronavirus in Nederland kon volgen. Een stijging of daling van gemelde klachten kon betekenen dat besmetting van het virus sneller opgemerkt kon worden, mits er voldoende deelnemers waren. Volgens het RIVM deden er sinds de lancering op 17 maart ruim 60.000 Nederlanders mee, maar was het streven een gebruikersaantal van zo’n 100.000.

Makkelijk toegang tot andermans gegevens

Het lek zou mensen met enige technische kennis de mogelijkheid hebben gegeven ingevulde formulieren in te zien, vanaf het moment van lancering van de infectieradar. Wel meent het RIVM dat de ingevulde formulieren na één dag worden verwijderd, waardoor eerdere formulieren niet in te zien waren.

Gebruikers van de infectieradar zouden bij het invullen van de vragenlijst een persoonlijk ID aangewezen krijgen (een getal van acht cijfers) dat vervolgens in de url-balk van de browser terug te zien was. Door dat getal aan te passen zou de pagina van een andere gebruiker in te zien zijn. Niet alleen stonden daar de antwoorden op medische vragen, maar ook het gebruikte emailadres en de cijfers van de postcode.

Het RIVM laat in een reactie aan de NOS weten bezig te zijn met het vinden van een oplossing voor het probleem, totdat die is gevonden is het invullen van de vragenlijst niet mogelijk. Het aanmelden voor de infectieradar is nog wel mogelijk, aangezien het RIVM daar een ander systeem voor gebruikt.