image

Canadese corona-app Portpass lekt privégegevens gebruikers

woensdag 29 september 2021, 14:58 door Redactie, 7 reacties

De Canadese corona-app Portpass, waarmee gebruikers kunnen aantonen dat ze zijn gevaccineerd of getest op corona, heeft privégegevens van mogelijk honderdduizenden gebruikers gelekt. Dat meldt de Canadese publieke omroep CBC. Portpass is door een commerciële partij ontwikkeld en biedt gebruikers de mogelijkheid om een qr-code te genereren waarmee kan worden gereisd en toegang tot locaties en evenementen kan worden verkregen.

De privédata van gebruikers blijkt via de website toegankelijk, zo stelt CBC. Het gaat om e-mailadressen, namen, bloedgroep, telefoonnummers, geboortedatum en foto. Hoe de informatie toegankelijk is wil de omroep niet laten weten, om zo misbruik te voorkomen. De website van Portpass is op het moment van schrijven offline. Eerder hadden onderzoekers aangegeven dat het mogelijk is om de app door middel van valse vaccinatiebewijzen te manipuleren.

Het bedrijf achter Portpass claimt dat honderdduizenden Canadezen van de app gebruikmaken. Volgens Google is de Androidversie van de app meer dan duizend keer gedownload. De app wordt onder andere aanbevolen door de Calgary Sports and Entertainment Corporation om toegang tot sportwedstrijden in de stad te krijgen.

Reacties (7)
29-09-2021, 15:29 door Anoniem
Je verwacht het niet he.
Eerst een spuit door de strot duwen, dan je data op straat. Maar de overheid heeft echt het beste met je voor hoor. En doet al het mogelijke om goed voor het volk te zorgen! Echt waar!
29-09-2021, 15:30 door majortom - Bijgewerkt: 29-09-2021, 15:31
Het bedrijf achter Portpass claimt dat honderdduizenden Canadezen van de app gebruikmaken. Volgens Google is de Androidversie van de app meer dan duizend keer gedownload.
Deze cijfers lijken me sterk. De een claimt dat het door honderdduizenden (dus minimaal 200.000) mensen wordt gebruikt, maar aan de andere kant meer dan 1000 keer gedownload onder Android (en dus zeer waarschijnlijk minder dan 10.000 keer, anders werd dat getal wel gebruikt). Dus een ratio van 19-199:1 IOS:Android? Ik geloof er niets van.
29-09-2021, 16:59 door Anoniem
Door Anoniem: Je verwacht het niet he.
Eerst een spuit door de strot duwen, dan je data op straat. Maar de overheid heeft echt het beste met je voor hoor. En doet al het mogelijke om goed voor het volk te zorgen! Echt waar!

Hoe de Canadese CoronaCheckApp ontworpen is weet ik niet, maar de Nederlandse CoronaCheckApp is volledig open-source ontworpen, met privacy-by-design als ontwerpeis. De resultaten zijn openbaar:
https://github.com/minvws

Klik het tweede vakje van de CoronaCheckApp. Details over de architectuur, encryptie, source code, versiebeheer, wat je maar wilt.
Misschien kan je aangeven waar de overheid (VWS in dit geval) niet goed heeft gehandeld? Waar zie je een zwakke plek? De kracht van open-source is nu juist dat iedereen een bijdrage kan leveren, dus ook jij.

(Het derde vakje leidt naar de source code van de eerder gemaakte CoronaMelderApp, de ContactTracingApp die ontworpen is op basis van DP-3T, Decentralized Privacy-Preserving Proximity Tracing, ook open-source en met privacy-by-design als ontwerpeis.)

Ik deel met jou het idee dat "overheid en ICT" niet altijd een gelukkige match vormt, maar in dit geval van de open-source ontwikkeling van deze CoronaApps heb ik daar (veel) meer vertrouwen in. Hopelijk is dit type software-ontwikkeling het begin van een nieuwe koers bij de overheid.
29-09-2021, 17:43 door majortom
Door Anoniem: Ik deel met jou het idee dat "overheid en ICT" niet altijd een gelukkige match vormt, maar in dit geval van de open-source ontwikkeling van deze CoronaApps heb ik daar (veel) meer vertrouwen in. Hopelijk is dit type software-ontwikkeling het begin van een nieuwe koers bij de overheid.
Je gaat er dan wel vanuit dat de source code ook daadwerkelijk de gebruikte code voor de app en backend (deze laatste is niet te checken) is. Ik ga daar wel vanuit, maar je weet het niet zeker.
29-09-2021, 19:39 door Anoniem
Onderwijl de NSA VPNs verdacht laten maken, want de corona dwingelandij QR-code appjes,
moeten aan de man gebracht worden. Altijd goed toch en niet bedoeld voor controle-doeleinden.

Alles om een voor ons een "bij jou en mijn gezond" te wensen.
Word je ook zo blij van zulke "baruchs"?

Als het volk niets meer te zeggen heeft, liggen al je data op straat.
Leer er maar mee te leven. Klaus Schwab is er bijna.
30-09-2021, 09:21 door Anoniem
Door Anoniem:
Door Anoniem: Je verwacht het niet he.
Eerst een spuit door de strot duwen, dan je data op straat. Maar de overheid heeft echt het beste met je voor hoor. En doet al het mogelijke om goed voor het volk te zorgen! Echt waar!

Hoe de Canadese CoronaCheckApp ontworpen is weet ik niet, maar de Nederlandse CoronaCheckApp is volledig open-source ontworpen, met privacy-by-design als ontwerpeis. De resultaten zijn openbaar:
https://github.com/minvws

Klik het tweede vakje van de CoronaCheckApp. Details over de architectuur, encryptie, source code, versiebeheer, wat je maar wilt.
Misschien kan je aangeven waar de overheid (VWS in dit geval) niet goed heeft gehandeld? Waar zie je een zwakke plek? De kracht van open-source is nu juist dat iedereen een bijdrage kan leveren, dus ook jij.

(Het derde vakje leidt naar de source code van de eerder gemaakte CoronaMelderApp, de ContactTracingApp die ontworpen is op basis van DP-3T, Decentralized Privacy-Preserving Proximity Tracing, ook open-source en met privacy-by-design als ontwerpeis.)

Ik deel met jou het idee dat "overheid en ICT" niet altijd een gelukkige match vormt, maar in dit geval van de open-source ontwikkeling van deze CoronaApps heb ik daar (veel) meer vertrouwen in. Hopelijk is dit type software-ontwikkeling het begin van een nieuwe koers bij de overheid.
De wet schrijft privacy by design voor, ook bij de vaccinatiedatabase. Diezelfde database waartoe iedere willekeurige medewerker toegang had, geen controle op was een waar veelvuldig informatie uit verkocht is. Het idee kan nog zo goed zijn, als de invulling (moedwillig) incompetent wordt gedaan stelt het allemaal weinig voor.
30-09-2021, 15:17 door Anoniem
30-09-2021 09:21 Door Anoniem: De wet schrijft privacy by design voor, ook bij de vaccinatiedatabase.
Eens.
30-09-2021 09:21 Door Anoniem: Diezelfde database waartoe iedere willekeurige medewerker toegang had, geen controle op was een waar veelvuldig informatie uit verkocht is. Het idee kan nog zo goed zijn, als de invulling (moedwillig) incompetent wordt gedaan stelt het allemaal weinig voor.
Er is wel een verschil tussen de CoronaApps en de software die de GGD gebruikt.
De verschillende ICT systemen van de GGD worden als volgt omschreven:
https://ggdru.nl/over-de-ggd/wat-doet-de-ggd/privacy-en-procedure-anonimiseren
Tijdens deze coronapandemie werkt de GGD met drie systemen: CoronIT, HPZone Lite en CoronaCare.
– De GGD gebruikt CoronIT om test- en vaccinatieafspraken in te plannen.
HPZone Lite wordt gebruikt voor de registratie van het aantal coronabesmettingen en contacten. Dit is het systeem waaruit het RIVM hun data haalt voor analyses en bijvoorbeeld een berekening van het R-getal.
– Voor het Bron- en Contactonderzoek wordt gebruikt gemaakt van CoronaCare. De gegevens in CoronaCare worden overgezet naar HPZone Lite.
Over deze drie GGD systemen gaat het als er wordt gesproken over het “datalek bij de GGD”:
https://hcagroep.nl/datalek-ggd/
Als de GGD bij het opzetten van de systemen de NEN7510 norm (zoals de ISO 27001 in de zorg heet) voor de informatiebeveiliging had nageleefd, dan hadden de vele kritische interne berichten van medewerkers en leidinggevenden wellicht het management bereikt en geleid tot acuut handelen door de ingebouwde controleprocedures. Ook de risicoanalyse had wellicht het hele debacle al voorkomen nog voordat er ook maar een record gevuld werd.
https://www.rtlnieuws.nl/tech/artikel/5211164/ggd-corona-systemen-toegang-vog-coronit-hpzone-light
Zowel de GGD als Teleperformance, het bedrijf dat verantwoordelijk is voor onder andere de testafsprakenlijn, stellen dat alleen mensen met een VOG met deze systemen mogen werken. Teleperformance meldt wel dat medewerkers soms al anderhalve maand aan het werk kunnen zijn terwijl ze op hun VOG wachten.
https://nos.nl/artikel/2366341-lek-in-ggd-systeem-al-driekwart-jaar-aanwezig
Volgens de instructies voor GGD-medewerkers bevat het computersysteem CoronIT sinds het begin van de pandemie ook de mogelijkheid om binnen het systeem te zoeken op een persoon. Het idee hierachter is dat medewerkers snel de testuitslagen kunnen vinden en geen dubbele dossiers aanmaken. Maar overzichten met dossiers kunnen ook worden geëxporteerd als pdf- of Excel-document. Het gevaar daarbij is dat die documenten kunnen worden doorgestuurd naar anderen, zoals nu ook is gebeurd. Privacy-expert Jaap-Henk Hoepman snapt niet waarom die exportfunctie überhaupt te gebruiken was. "Er is geen reden om die breed beschikbaar te maken", zegt Hoepman. "Misschien voor systeembeheerders of mensen met speciale bevoegdheden."
https://www.ggdru.nl/over-de-ggd/nieuws-en-persberichten/nieuwsbericht/artikel/ggd-en-haar-data-hoe-zit-het-echt
En dan hebben we nog HPZone. Een systeem uit 2003. Een systeem dat al jarenlang gebruikt werd door 23 GGD’en voor de infectieziektebestrijding. Een systeem waar een kleine groep artsen en verpleegkundigen mee werkte als ze te maken kregen met een lokale uitbraak van een infectieziekte. Een systeem dus voor en van specialisten waar zij al buitengewoon lange tijd op zeer kleine schaal en binnen elke GGD apart probleemloos mee werkten. 
Toen corona uitbrak is er onder hoge druk en in korte tijd  de keuze gemaakt om HPZone als basis te blijven gebruiken voor het uitvoeren van bron- en contactonderzoek; dit werd HPZone Lite. We hadden niks beters.
https://www.agconnect.nl/artikel/ggds-werken-met-software-die-niet-op-pandemie-berekend
Helaas is het allemaal nog veel erger dan in de pers wordt voorgeschoteld. Er wordt gewerkt voor het BCO (Bron en Contact Onderzoek) met inderdaad een oud software pakket, dat door de maker in de UK als "browser software" wordt bestempeld. HP Zone is niet veel meer dan een platte database, zonder enige vorm van intelligentie; geen automatische acties, geen procesflow, geen workflow, geen user autorisaties (logisch als je geen workflow biedt) etc. Kortom een drama om mee te werken als BCO'er (Bron en Contact Onderzoeker), als analyse medewerker, als beheerder.

Nergens staat vermeld dat deze drie GGD systemen open-source zijn.

De bekende CoronaApps (CoronaMelder en CoronaCheck) zijn wel open source, waarbij in de ontwerpfase al rekening is gehouden met privacy-by-design. Zoals vermeld in een vorige reactie (29-09-2021 16:59 door Anoniem) staat de architectuur en de broncode gewoon op GitHub. De CoronaMelder is ontworpen op basis van DP-3T dat maximale privacy garandeert. Nergens staan herleidbare gegevens centraal opgeslagen, alleen lokaal op de smartphone van de gebruiker.
https://en.wikipedia.org/wiki/COVID-19_apps
https://en.wikipedia.org/wiki/Decentralized_Privacy-Preserving_Proximity_Tracing
Daarom schreef ik deze conclusie:
29-09-2021 16:59 Door Anoniem: Ik deel met jou het idee dat "overheid en ICT" niet altijd een gelukkige match vormt, maar in dit geval van de open-source ontwikkeling van deze CoronaApps heb ik daar (veel) meer vertrouwen in. Hopelijk is dit type software-ontwikkeling het begin van een nieuwe koers bij de overheid.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.