Het beveiligingslek in de Infectieradar van het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) waardoor het zeer eenvoudig was om medische gegevens van deelnemers in te zien is ondanks verschillende veiligheidschecks niet ontdekt. Dat laat het RIVM in een nieuwe verklaring weten. De Autoriteit Persoonsgegevens is inmiddels over het datalek geïnformeerd.
Het RIVM houdt op verschillende manieren de verspreiding van infectieziekten in de gaten, wat ook geldt voor het coronavirus. Hiervoor wordt onder andere de website Infectieradar gebruikt. Deelnemers kunnen één keer per week doorgeven of zij in de afgelopen week koorts of andere klachten hebben gehad. Bij het aanmelden voor Infectieradar moet een formulier met medische gegevens worden ingevoerd. Het gaat dan om het gebruik van medicijnen en waarvoor dit is, of deelnemers roken of allergieën hebben en of men zwanger is. Deze invulde formulieren waren voor derden toegankelijk, zo werd dit weekend duidelijk.
Deelnemers aan Infectieradar krijgen een uniek nummer van acht cijfers, dat bij het invullen van de vragenlijst zichtbaar in de adresbalk van de browser was. Door het wijzigen van dit cijfer in de adresbalk was het mogelijk om het formulier van iemand anders te bekijken. Een kwetsbaarheid die ook bekend staat als Insecure Direct Object Reference (IDOR). Via een script zou het zo eenvoudig mogelijk zijn om gegevens van allerlei andere gebruikers te verzamelen. Nadat het datalek was gemeld besloot het RIVM de database offline te halen.
"De gegevens van deelnemers aan Infectieradar zijn door niemand anders ingezien dan door de journalist en de aan hen meldende beveiligingsexpert", zo stelt het RIVM. Het ging om 49 aanmeldformulieren, waarvan de journalist en de beveiligingsonderzoeker hebben laten weten de gegevens zo snel mogelijk te zullen vernietigen.
Het RIVM heeft een melding gedaan bij de Autoriteit Persoonsgegevens van het datalek en alle deelnemers ingelicht waarvan de gegevens zijn ingezien. Volgens het Rijksinstituut waren er verschillende veiligheidschecks op de gebruikte software uitgevoerd, maar was het beveiligingslek niet aan het licht gekomen. We hebben het RIVM gevraagd om wat voor soort checks het precies ging en zullen het artikel bijwerken zodra we een reactie krijgen.
Afsluitend meldt het Rijksinstituut dat de softwareleverancier inmiddels een oplossing heeft doorgevoerd die zowel door het RIVM als een externe partij wordt getest. "Zodra we zeker weten dat de vragenlijsten veilig worden opgeslagen, gaan we verder met Infectieradar." Het is al wel mogelijk voor mensen om zich aan te melden voor Infectieradar. Deze gegevens worden in een ander systeem opgeslagen.
Deze posting is gelocked. Reageren is niet meer mogelijk.