Een onbeveiligde database van coronatestbedrijf Testcoronanu maakte het mogelijk om valse toegangsbewijzen aan te maken waarmee er toegang tot locaties kon worden gekregen en gereisd. Dat meldt RTL Nieuws op basis van eigen onderzoek. Daarnaast werden via de onbeveiligde database de gegevens van 60.000 mensen gelekt die bij Testcoronanu een test deden.
Testcoronanu maakt gebruik van Cloud Firestore, een databasesysteem van Firebase en Google Cloud. Met alleen een Firebase-account bleek het mogelijk om toegang tot de database van Testcoronanu te krijgen en daar gegevens aan te passen. Daarmee was het mogelijk om een bewijs te genereren waarmee ten onrechte binnen de CoronaCheck-app kon worden weergegeven dat iemand was gevaccineerd, getest of hersteld van corona. RTL Nieuw merkt op dat Google diverse documenten heeft gepubliceerd om Firestore-databases beter te beveiligen, bijvoorbeeld door de open toegang aan te passen.
Verder bevatte de database van Testcoronanu de gegevens van ruim 60.000 mensen die een coronatest bij het bedrijf hadden laten doen. Het gaat om volledige namen, woonadressen, e-mailadressen, telefoonnummers, burgerservicenummers (bsn's), paspoortnummers en medische gegevens zoals een positieve of negatieve test. Van honderden mensen was een positieve coronatest in het systeem te vinden. Testcoronanu verwijderde bsn's een aantal dagen na de test. Daardoor is niet van alle mensen het bsn gelekt.
Na te zijn ingelicht door RTL Nieuws heeft Testcoronanu de eigen website offline gehaald om de kwetsbaarheid te verhelpen en zijn alle locaties sinds vandaag gesloten. Het ministerie van Volksgezondheid heeft het testbedrijf afgesloten van zijn systemen, zodat het geen testen of toegangsbewijzen meer kan uitgeven. De Autoriteit Persoonsgegevens wil van het ministerie van Volksgezondheid weten hoe het kan dat dit testbedrijf een officiële partner is geworden. Testcoronanu heeft aangegeven alle klanten vandaag over het datalek te zullen informeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.