Het Nederlandse Coronalab.eu heeft een grote hoeveelheid persoonlijke informatie gelekt. Nadat onderzoeker Jeremiah Fowler het lek kenbaar maakte aan het lab, bleef de database bijna drie weken online.
Het lek betrof 1,3 miljoen records, waaronder 118.441 coronacertificaten, 506.663 afspraakgegevens, 660.173 testresultaten en een “kleine hoeveelheid interne applicatie-bestanden,” aldus Fowler.
De onderzoeker stelt dat hij meermaals geprobeerd heeft om het testlab te contacteren. “Ik heb meerdere responsible disclosure-meldingen verstuurd en geen antwoord gekregen. Meerdere keren bellen leverden ook niets op.” Fowler wist na drie weken de cloudhostingprovider te contacteren om de database offline te krijgen. Hij vindt het opvallend hoe traag de reactie was: normaal gesproken reageren organisaties bijna direct na een dergelijke security-melding.
Veel buit te maken
Er is niet bekend of kwaadwillenden bij de database zijn gekomen, maar de informatie was zeer gevoelig. Elke geteste persoon werd met naam genoemd, het paspoortnummer was te lezen, naast andere zaken als testresultaat, prijs, locatie, en type test. Deze details waren tevens via QR-codes te lezen.
Fowler haalt aan dat criminelen een gerichte phishing-campagne met deze informatie op zouden kunnen zetten. Men zou zich daarnaast kunnen voordoen als een laboratorium-medewerker die achteraf contact opneemt.
Inmiddels is Coronalab.eu offline, maar het gold in 2020 als een van de twee grootste commerciële testleveranciers in Nederland. Het is eigendom van Microbe & Lab uit Amsterdam.