Managed hosting door True

VWS: 'Dit lek was met elke pentest gevonden'

 

Het ministerie van VWS controleert niet met een eigen penetratietest (pentest) of de systemen van aanbieders van coronatests, die gekoppeld zijn met de Coronacheck-app, deugen. De verantwoordelijkheid voor die pentest ligt volledig bij de externe aanbieders. Dat vormt een flink risico voor de Coronacheck-app, dat de officiële verstrekker is van digitale testbewijzen. De procedure gaat mogelijk op de schop.

Bij een negatieve testuitslag stuurt een externe coronatestaanbieder deze naar de app van VWS die deze omzet in een qr-code waarmee iemand kan aantonen dat hij getest of gevaccineerd is en op reis kan of een evenement kan bezoeken. 

Afgelopen weekend meldde RTL Nieuws dat door een lek bij aanbieder Testcoronanu het mogelijk was om valse reis- en toegangsbewijzen in de app Coronacheck te krijgen. Ook waren de privégegevens van ruim 60.000 mensen die bij dat bedrijf een coronatest deden, gelekt.

Een verslaggever kon na het maken van een afspraak via twee regels code in de webbrowser toegang krijgen tot de database van de coronatestaanbieder. Door schrijfrechten kon hij een eigen negatieve test toevoegen. Die data werd via een koppeling met  de Coronacheck-app van de overheid omgezet in een officieel digitaal testbewijs. Het toonde aan hoe mensen die niet getest zijn aan een negatief testbewijs kunnen komen.

VWS heeft de koppeling tussen de systemen van de Coronacheck-app en coronatest-aanbieder Testcoronanu direct gestaakt nadat het lek bekend werd. 

Stappenplan

"'Dit lek was met elke pentest naar voren gekomen.’"

Volgens de woordvoerder van VWS zijn er rond de dertig commerciële aanbieders van coronatests aangesloten op de Coronacheck-app. Volgens hem gaat het in het geval van het datalek om een incident en zijn in de andere gekoppelde systemen geen kwetsbaarheden van die omvang aangetroffen. 'Dit lek was met elke pentest naar voren gekomen.’ Er wordt nu onderzocht of er en zo ja, hoe, de pentest heeft plaatsgevonden.

Om die aansluiting tot stand te krijgen, moeten die partijen allerlei procedures volgen en documentatie voorleggen. Zoals beveiligings- en privacy-eisen en een pentest.

Het aansluiten op de app van de rijksoverheid verloopt volgens een strikt stappenplan maar lijkt gezien het bekende beveiligingslek vooral een papieren tijger te zijn. In de lijst met antwoorden op veelgestelde vragen staat over de pentest dat de aanbieder verantwoordelijk is om kwetsbaarheden te beheersen (zie kader). Daarmee legt de overheid wel erg makkelijk de verantwoordelijkheid bij de andere partij, zeker in een tijd waarin steeds vaker wordt gewaarschuwd voor risico's in de keten van partners en toeleveranciers. 

NEN 7510

Op welke systemen en applicaties moet ik de pentesten uitvoeren?

De pentest moet u uitvoeren op alle systemen in de keten die van toepassing zijn voor de Coronacheck-app. Dit heeft in ieder geval betrekking op de applicatie die mensen gebruiken om afspraken te maken, voor het verwerken van testen en delen van uitslagen met de gebruiker. Een aanbieder is eindverantwoordelijk om de kwetsbaarheden van de systemen te beheersen die onderdeel zijn van de keten volgens NEN 7510. 

Bron: Vragen en antwoorden over aansluiten op Coronacheck-app

Weer in de fout

Na het melden van het beveiligingslek meldde RTL Nieuws dat het gewraakte Testcoronanu opnieuw in de fout is gegaan met data en privacy. Er ontstond een nieuw datalek doordat alle mensen, die op de hoogte werden gesteld dat hun afspraak niet door ging, ‘in cc’ waren gezet. Daardoor waren alle mailadressen van mensen met een geannuleerde afspraak zichtbaar.

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/7218028). © Jaarbeurs IT Media.

?


Lees ook


 

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Nieuwsbrief

Wil je dagelijks op de hoogte gehouden worden van het laatste resellernieuws, trends en ontwikkelingen? Abonneer je dan op onze gratis nieuwsbrief.

Vul een geldig e-mailadres in

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.