Overheid onderzoekt pentest van coronatestbedrijf met onbeveiligde database
De ministeries van Volksgezondheid en Infrastructuur en Waterstaat starten een onderzoek naar de penetratietest die bij het bedrijf Testcoronanu is uitgevoerd. Door een onbeveiligde database van Testcoronanu bleek het voor iedereen mogelijk om testuitslagen in te zien, aan te passen en toe te voegen. Verder bevatte de database de persoonsgegevens van ruim 60.000 personen.
Testcoronanu heeft tien locaties in Amsterdam, Weesp, Nieuwegein, Houten, Zwolle, Alkmaar, Eindhoven, Tilburg, Velp en Utrecht en voert ruim drieduizen testen per dag uit. Het bedrijf was sinds 10 juli aangesloten op CoronaCheck in het kader van Testenvoorjereis. "CoronaCheck sluit aan op de bronsystemen van testaanbieders. Het is allereerst aan elk van de aangesloten partijen om de informatiebeveiliging op orde te hebben", laat De Jonge in een brief aan de Tweede Kamer weten.
Om op CoronaCheck te worden aangesloten moeten testaanbieders ook aan de aansluitvoorwaarden voldoen. Hiervoor moet onder andere een rapport van een penetratietest worden aangeleverd en een DPIA (Data Protection Impact Assesment). Hiermee worden de risico's in kaart gebracht en maatregelen om die te mitigeren.
Beide ministerie starten een onderzoek naar de aangeleverde documenten en in het bijzonder naar de aangeleverde pentest. "Uit een goede pentest had de gevonden kwetsbaarheid namelijk moeten blijken. Mocht dit onderzoek hiertoe aanleiding geven dan zullen de aansluiteisen op CoronaCheck worden aangescherpt", aldus De Jonge.
De minister voegt toe dat elke testaanbieder na de aansluiting op CoronaCheck periodiek wordt gemonitord. Vanwege de recente aansluiting was Testcoronanu nog niet aan bod gekomen. Alle overige testaanbieders worden actief gemonitord, laat De Jonge weten.
Vanwege de gevonden kwetsbaarheid is de aansluiting van Testcoronanu per direct opgeschort. Mocht het bedrijf weer willen worden aangesloten zal het niet alleen zelf een audit moeten kunnen overleggen, maar zal ook de overheid een penetratietest laten uitvoeren.
Maar sowieso ga je bij time-limited en/of scope-limited pentests niet alle kwetsbaarheden vinden, en je komt nergens indien deze door flapdrollen zijn uitgevoerd. Daarbij: vakkundige + ervaren pentesters zijn schaars. Kansloos dit, inclusief de kennelijke verwachting van VWS.
Alhoewel de meest voor de hand liggende missers natuurlijk wel gevonden zouden mogen worden. Uiteraard...
Zoiets?
Vertrouwen: in de hele overheid en alles wat er voor werkt... al jaren niet meer. Ze bewijzen steeds vaker dat je er alleen op kunt vertrouwen dat ze het niet voor elkaar hebben. Elke keer weer.
Zij schrijven:
'ZONDAG 18 JULI GESLOTEN
Vanwege onvoorziene omstandigheden zijn helaas al onze locaties gesloten op zondag 18 juli 2021'.
Helaas? Onvoorziene omstandigheden?
Is het niet te voorzien dat je anno 2021 onafwendbaar aan de ketting gaat als je zo nonchalant omgaat met privaatgegevens van klanten? Zelfs de afhaalchinees op de hoek van de straat heeft meer notie van privacy.
Zo'n BV Beunhaas mag natuurlijk niet ontbreken in Circus Coronatest. Anders herkennen wij ons Nederland niet.
Nee hoor, "Testcoronanu maakt gebruik van Cloud Firestore, een databasesysteem van Firebase en Google Cloud. Met alleen een Firebase-account bleek het mogelijk om toegang tot de database van Testcoronanu te krijgen en daar gegevens aan te passen."
Verder maakt het in dit geval niet uit welke software men gebruikt. De toepassing en procedures gingen fout. Dat is het probleem.
Definieer goede pentest.... weer zo'n container begrip waar je diverse smaakjes en soorten in hebt. En wat is het niveau van infromatieverstrekking aan de pentesters ?
Ik heb al diverse gedaan en ook gezien dat dat essentieel kan zijn.
Nee hoor, "Testcoronanu maakt gebruik van Cloud Firestore, een databasesysteem van Firebase en Google Cloud. Met alleen een Firebase-account bleek het mogelijk om toegang tot de database van Testcoronanu te krijgen en daar gegevens aan te passen."
Verder maakt het in dit geval niet uit welke software men gebruikt. De toepassing en procedures gingen fout. Dat is het probleem.
Gevalletje "we hebben de security instellingen binnen Firebase/Google Cloud niet goed staan"... dat gaat geen enkele pentest aantonen... ja misschien met een dictionary attack met bekende firebase accounts. Maar ja stond dat in de pentest opdracht ?
Maar sowieso ga je bij time-limited en/of scope-limited pentests niet alle kwetsbaarheden vinden, en je komt nergens indien deze door flapdrollen zijn uitgevoerd. Daarbij: vakkundige + ervaren pentesters zijn schaars. Kansloos dit, inclusief de kennelijke verwachting van VWS.
Dat is in 90% van de gevallen tegenwoordig in Nederland. Kleine aanvulling soms zijn het geen flapdrollen maar heeft de opdrachtgever er niet voldoende budget voor over daar informatiebeveiliging geen doel is maar een pentest slechts wordt uitgevoerd om vinkjes te zetten en zichzelf in te dekken. #time4achange Overigens een goede reactie en goed beschreven...
Dat is standaard binnen de overheid puur omdat ze informatiebescherming niet het belangrijkste vinden. Het gaat om de vinkjes (lees pentest) wie het ook doet zodat ze door de audit komen en het vinkje pentest aan kan.
en : Gevalletje "we hebben de security instellingen binnen Firebase/Google Cloud niet goed staan"... dat gaat geen enkele pentest aantonen... ja misschien met een dictionary attack met bekende firebase accounts. Maar ja stond dat in de pentest opdracht ?
Dan is de manager toch in ieder geval gedekt! En dat zijn heel veel managers binnen de overheid. En ze hebben geen kennis van zaken dus lijkt het voor hun oke en ik neem ze ook niets kwalijk.
Ze maken gebruik van de pentesters die hun "CEH" hebben gehaald :-) en deze groep werken vooral binnen de overheid.
Dus advies aan overheid:
Vergeet de certificaten, zorg voor ervde pentest opdracht ?"Huur ervaren "slotenbrekers" in en geen "nessusscanner" en dan is dat vinkje en/of de diploma's helemaal niet relevant en komt de informatiebescherming op orde. Een groot deel van de echte slotenbrekers hebben echter geen HBO diploma....
.
.
De beste vakmensen hebben ervaring, niet persé een HBO diploma. Goed personeel heeft creativiteit, leer je dat op de 'klaarstoom om manager te worden HBO' school?
https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/data-protection-impact-assessment-dpia
Zoiets?
Vertrouwen: in de hele overheid en alles wat er voor werkt... al jaren niet meer. Ze bewijzen steeds vaker dat je er alleen op kunt vertrouwen dat ze het niet voor elkaar hebben. Elke keer weer.
ja sinds we de overheid als een bedrijf zien en managen, krijg je ook dit soort bedrijfsmatigheden....
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
