image

Zuid-Koreaanse quarantaine-app lekte privégegevens van 162.000 gebruikers

woensdag 22 juli 2020, 13:43 door Redactie, 3 reacties

Een app die de Zuid-Koreaanse overheid ontwikkelde voor mensen die in quarantaine moeten heeft de privégegevens van 162.000 gebruikers gelekt. Het gaat om naam, geboortedatum, geslacht, nationaliteit, adresgegevens, telefoonnummer, real-time locatie en medische klachten. Vanwege de snelheid waarmee de Zuid-Koreaanse overheid de app wilde lanceren was er geen uitgebreide veiligheidscontrole uitgevoerd, zo laat het aan The New York Times weten.

Alle reizigers die Zuid-Korea binnenkomen moeten ongeacht hun nationaliteit verplicht veertien dagen in quarantaine. Wie in zelf-quarantaine gaat moet de 'Self-Quarantine Safety Protection App' installeren. Software-engineer Frédéric Rechtenstein, die in Seoul woont, moest de app ook gebruiken nadat hij in mei terugkwam van een reis naar het buitenland. Nieuwsgierig naar de werking van de app besloot hij die te onderzoeken en ontdekte daarbij verschillende kwetsbaarheden.

De app-ontwikkelaars kenden gebruikers user-ID's toe die eenvoudig waren te raden. Een aanvaller zou door het raden van een user-ID de persoonlijke data van de betreffende gebruikers kunnen opvragen. Daarnaast maakte de app gebruik van een zelfontwikkelde encryptiemethode voor het uitwisselen van data met de server. De encryptiesleutel, "1234567890123456", bevond zich in de code van app. Een aanvaller zou zo, bijvoorbeeld in het geval van een onbeveiligd wifi-netwerk, het verkeer kunnen onderscheppen en ontsleutelen.

De kwetsbaarheden maakten het niet alleen mogelijk om privégegevens van gebruikers op te vragen, ook konden aanvallers de gegevens veranderen zodat het leek alsof iemand het quarantainebevel had overtreden, of nog steeds in quarantaine was terwijl hij of zij zich in werkelijkheid ergens anders bevond.

De kwetsbaarheden zijn aan de Zuid-Koreaanse overheid gerapporteerd en werden vorige week via nieuwe versies verholpen. "We hadden erg veel haast om deze app zo snel als mogelijk te ontwikkelen en uit te rollen om de verspreiding van het virus tegen te gaan", zegt Jung Chan-hyun van het Zuid-Koreaanse ministerie van Binnenlandse Zaken. "We konden geen tijdrovende veiligheidscontrole van de app veroorloven die de uitrol zou vertragen." Er zijn bij de overheid geen meldingen van misbruik van de kwetsbaarheden binnengekomen.

Reacties (3)
22-07-2020, 13:50 door Anoniem
Dit is niet de eerste app met serieuze problemen. Hoe pijnlijk ook, het hele gebeuren bevestigt maar weer dat de convervatieve insteekt toch echt de correcte is.
22-07-2020, 17:41 door Anoniem
Requirement: 128 bits encryptie > string van 16 karakters
22-07-2020, 19:34 door Anoniem
Ik ben blij dat we dit in Nederland dus anders doen. Waar zelfs de broncode gewoon open-source is, zelfs van de site.

https://github.com/minvws/nl-covid19-notification-app-website

Waar je dus als security adviseur gewoon kunt zien hoe het zit en bugs kunt melden als iets beter moet.

Datalekken voorkomen? Let's do it the Dutch way!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.