De Infectieradar van het RIVM heeft sinds de lancering op 17 maart vertrouwelijke gegevens van deelnemers gelekt, zoals e-mailadres, geboortejaar en cijfers van de postcode, alsmede gevoelige medische informatie. Dat laat de NOS vandaag weten. Naar aanleiding van het datalek is de database direct offline gehaald, zo meldt het instituut zelf via Twitter en de eigen website.
Het RIVM houdt op verschillende manieren de verspreiding van infectieziekten in de gaten, wat ook geldt voor het coronavirus. Hiervoor wordt onder andere de website Infectieradar gebruikt. Deelnemers kunnen één keer per week doorgeven of zij in de afgelopen week koorts of andere klachten hebben gehad. Bij het aanmelden voor Infectieradar moet een formulier met medische gegevens worden ingevoerd. Het gaat dan om het gebruik van medicijnen en waarvoor dit is, of deelnemers roken of allergieën hebben en of men zwanger is.
Deze invulde formulieren waren voor derden toegankelijk. Deelnemers aan Infectieradar krijgen een uniek nummer van acht cijfers, dat bij het invullen van de vragenlijst zichtbaar in de adresbalk van de browser was. Door het wijzigen van dit cijfer in de adresbalk was het mogelijk om het formulier van iemand anders te bekijken. Een kwetsbaarheid die ook bekend staat als Insecure Direct Object Reference (IDOR). Via een script zou het zo eenvoudig mogelijk zijn om gegevens van allerlei andere gebruikers te verzamelen.
De ingevulde formulieren werden wel elke dag verwijderd. Daardoor was het niet mogelijk om formulieren van langer dan een dag geleden te downloaden, zo laat het RIVM weten. De kwetsbaarheid was sinds 17 maart bij de lancering van de website aanwezig. Een aanvaller die sindsdien de formulieren verzamelde had zo de gegevens van tienduizenden mensen kunnen bemachtigen. Aan Infectieradar doen zo'n 60.000 mensen mee.
Deze posting is gelocked. Reageren is niet meer mogelijk.