Privacy - Wat niemand over je mag weten

coronalab.eu (A'dam): datalek?

24-01-2024, 23:59 door Erik van Straten, 15 reacties
Twee bronnen melden een groot datalek bij CoronaLab.eu [1], een dochter van het Amsterdamse bedrijf Microbe&Lab [2]. Het zou hierbij om miljoenen records gaan met gegevens van Corona-tests (zowel PCR- als sneltests).

CyberNews meldt 11,7 miljoen records
Op 16 januari j.l. meldde CyberNews [3] een groot datalek, enkele passages daaruit (vette opmaak hieronder steeds toegevoegd door mij):
Coronalab.eu, a Dutch online platform for Covid-19 testing, left a misconfigured Google Cloud Storage bucket with 1.7 million files, covering 11.7 million records on individuals from 44 countries, the Cybernews research team has revealed.
[...]
The team discovered the open bucket in late November, with Coronalab fixing the issue after being contacted.
[...]
Researchers claim that among the nearly 2 million exposed files, they’ve discovered 120K Covid certificates in QR code formats and 32K comma-separated values (CSV) files with over 11.7 million Covid test results.

The exposed documents cover a period from 2020 until 2022. The leak exposed a trove of sensitive and personally identifiable user data, including:

• Patients’ names
• Nationality
• Dates of birth
• Passport numbers
• Covid test results
• Email addresses
• Phone numbers
• Destination country if the test was taken for traveling reasons

According to the team, the majority of leaked data likely belonged to Dutch nationals, as almost 89% of total leaked phone numbers came from the Netherlands. A further 1.5% were UK-based, 1.2% were from the USA, 0.8% were from Germany, and 0.8% were from Italy.

Niet duidelijk is wanneer precies de open database ontoegankelijk zou zijn gemaakt, wie de ontdekker(s) was (of waren), noch of alle data is gekopieerd (en zo ja, wie deze dan nu tevens in bezit heeft).

Direct daaronder in bovengenoemde pagina is een deels zwartgemaakte screenshot te zien van ca. 34 records van mensen met Nederlandse woonplaatsen die, zo te zien, naar het buitenland wilden reizen. De gegevens zijn zodanig weergegeven dat de betrokkenen zichzelf zouden moeten kunnen herkennen, maar onvoldoende om contact met hen op te nemen om na te vragen of de gegevens kloppen.

Jeremiah Fowler noemt 1,3 miljoen records
Opmerkelijk is dat Jeremiah Fowler, een bekende securityonderzoeker [4], op 22 januari j.l. op vpnMentor meldde [5] (omstreeks dezelfde tijd?) hetzelfde lek te hebben ontdekt:
Cybersecurity Researcher, Jeremiah Fowler, discovered and reported to vpnMentor about a non-password protected database that contained nearly 1.3 million records, which included COVID-19 testing information and personally identifiable information such as the patient’s name, date of birth, and passport number.[
[...]
According to the NL Times, “CoronaLab is one of the two largest commercial test providers in the Netherlands”. I sent multiple responsible disclosure notices and did not receive any reply and several phone calls also yielded no results. The database remained open for nearly 3 weeks before I contacted the cloud hosting provider and it was finally secured from public access. In most cases the organization replies or closes public access immediately after receiving a responsible disclosure notice. Another research-based online publication, Cybernews, claimed to have found a similar leak around the same time of my discovery. I cannot confirm if it's related or not.
In die pagina zijn 4 screenshots van andere data te zien dan op CyberNews worden vermeld.

Over coronalab.eu
In [6] is de laatst door archive.org gearchiveerde (op 28-06-2023) voorpagina van coronalab.eu te zien. Daaruit, onder "Wat gebeurt er met mijn gegevens?":
Gegevens voor testen in de kliniek
Alle persoonsgegevens die worden opgeslagen om de test te kunnen analyseren en de test te kunnen uitvoeren worden conform AVG na twee weken verwijderd.

Serologische Thuistest
Om de test naar je op te kunnen sturen, hebben we je naam, adres en e-mailadres nodig. Wij gebruiken deze gegevens alleen om de anonieme test op te sturen. Deze gegevens worden niet gekoppeld aan de anonieme test. Je gegevens worden 6 weken na je bestelling verwijderd.

De gegevens staan op beveiligde servers die voldoen aan de eisen die aan ons gesteld worden in het kader van de AVG.

Bovenaan de (op 31-03-2023) gearchiveerde privacyverklaring [7] staat:
Privacyverklaring

We anonimiseren uw Persoonsgegevens zodat het onmogelijk is om bepaalde personen te identificeren (bijvoorbeeld door alle stukjes informatie te verwijderen waarmee een persoon kan worden geïdentificeerd, zoals bijvoorbeeld het ip-adres door een proces uit te voeren waardoor het onmogelijk is om een persoon opnieuw te identificeren) en kunnen dan deze geanonimiseerde informatie voor welk doel dan ook gebruiken. Alle persoonsgegevens zoals uw naam, geboortedatum, emailadres, identificatiegegevens, telefoonnummer, IP-adres, betaalgegevens (in geval van commerciële testen) worden volledig uit ons systeem verwijderd.
Het begin en einde klinken wel héél stellig en dat is niet consistent met wat in de voorpagina staat. Wat er vervolgens over IP-adressen geschreven wordt klinkt als pseudonimiseren. Als dat cryptografisch hashen is, dan is dat simpelweg omkeerbaar. Het is extreem lastig, zo niet onmogelijk, om een IP-adres (vooral IPv4) zodanig te pseudonimiseren dat het onomkeerbaar is. Als je het proces zo beschrijft maak ik daaruit op dat IP-adressen niet simpelweg verwijderd worden (dat je logging een tijdje bewaart voor onderzoek naar fraude en/of aanvallen, lijkt mij gerechtvaardigd, maar dan uitsluitend voor dergelijke en niet alle doeleinden).

Mocht er bij nader inzien géén sprake zijn van een datalek, dan vind ik zo'n "intro" al misleidend. Indien data geanonimiseerd zou worden, waarom dan, hoe dan, en wat gebeurt daar vervolgens mee? Hoezo zou coronalab.eu "geanonimiseerde" IP-adressen "voor welk doel dan ook" willen en mogen gebruiken? Naar welke maas in welke wet is hier gezocht?

Tevens uit de laatst gearchiveerde [6] voorpagina van coronalab.eu:
(v) ISO gecertificeerd
Microbe&Lab is ISO gecertificeerd. Alle testen worden door een BIG gecertificeerd arts gecontroleerd.

(v) RIVM geaccrediteerd
Ons laboratorium is door het RIVM geaccrediteerd voor Sars-CoV-2 diagnostiek.

(v) Security en Privacy
Jouw persoonsgegevens worden conform geldende wet- en regelgeving zoals AVG verwerkt.

Uit de (op 31-03-2023) gearchiveerde "Over ons" pagina [8] van coronalab.eu:
Over ons

Coronalab.eu is onderdeel van Microbe & Lab.

Microbe&Lab is een ISO gecertificeerd laboratorium aan de Paalbergweg in Amsterdam. Ons laboratorium is door het RIVM gevalideerd als laboratorium voor SARS-CoV-2 diagnostiek.

Verderop staat "ISO Certificaat" met daaronder link [9] (op archive.org). Als je zo'n link op coronalab.eu zet, suggereert dit m.i. dat coronalab.eu gecertificeerd is.

Ik kon vandaag trouwens nog "het origineel" daarvan downloaden: [10]. Daaruit blijkt dat het om een ISO 9001:2015 certificaat gaat voor Microbe & Lab (dus niet voor haar dochter Coronalab.eu), met de volgende scope:
The design, development, production and distribution of molecular biological kits and self-sampling systems in the field of infectious and inflammatory diseases.
Dat is niet het afnemen van tests en/of op grote schaal verwerken van privacygevoelige- en medische gegevens van burgers.

Disclaimer en conclusie
Persoonlijk heb ik geen enkel bewijs van het door de twee bronnen beschreven datalek. Daarbij heb ik meer vertrouwen in Jeremiah Grossman dan in CyberNews (die site meldde op 22 januari [11] "the Mother of all Breaches" waarvan Kevin Beaumont gisteren al schreef [12] dat het om een publiciteitsstunt ging, bevestigd door Troy Hunt [13]).

Aan de andere kant komen beide bronnen met plausibele data die onderling verschilt, maar wel in beide gevallen door coronalab.eu verzameld en opgeslagen zou zijn. Ik vermoed dan ook dat er sprake is of was van een aanzienlijk datalek dat door minstens twee verschillende personen is ontdekt. De kans lijkt mij dan groot dat minder vriendelijke types deze data ook al gevonden hebben en alle gegevens hebben gekopiejat. En dat deze gegevens, vroeger of later, misbruikt zullen worden of dat al zijn.

Vanwege de tevens opgeslagen geboortedatum is het voor bijvoorbeeld bankhelpdeskfraudeurs doodsimpel om ouderen eruit te vissen. Ook kunnen zij op woonplaats selecteren (voor de pinpas-ophalers). Het kunnen noemen van een paspoortnummer kan daarbij extra vertrouwen wekken bij slachtoffers en/of hen afleiden van plaatsvindende fraude.

Dat ook The Register [14] niet meteen antwoorden op vragen aan Microbe&Lab (en aan de AP) kreeg, vind ik een teken aan de wand. Als er inderdaad sprake is van zo'n groot datakek, wat hebben we dan nog aan privacyverklaringen?

Sowieso vind ik dat het onterecht claimen van ISO certificeringen en onzinnige privacyverklaringen publiceren streng gestraft zou moeten worden. Als je zo aanrommelt, hoe betrouwbaar ben je dan verder als partij die privacygevoelige gegevens van zeer veel personen verwerkt?

Referenties
[1] (meldt sinds 22 jan.of eerder een Redis connection error, zie [1.1]) https://coronalab.eu/

[1.1] https://web.archive.org/web/20240122151752/https://coronalab.eu/

[2] https://microbe-lab.com/solutions/#brands

[3] https://cybernews.com/security/coronalabeu-tests-leak-expose-patient-data/

[4] https://nitter.net/yoda69 (nitter.net probeert een kopie van twitter.com te zijn)

[5] https://www.vpnmentor.com/news/report-coronalab-breach/

[6] https://web.archive.org/web/20230628003512/https://coronalab.eu/

[7] https://web.archive.org/web/20230331222447/https://coronalab.eu/privacyverklaring/

[8] https://web.archive.org/web/20230331225933/https://coronalab.eu/over-ons/

[9] https://web.archive.org/web/20220814102452/https://coronalab.eu/wp-content/uploads/2022/04/Certificaat-Microbe-Lab-ISO-90012015-2.pdf

[10] https://coronalab.eu/wp-content/uploads/2022/04/Certificaat-Microbe-Lab-ISO-90012015-2.pdf

[11] https://web.archive.org/web/20240122160912/https://cybernews.com/security/billions-passwords-credentials-leaked-mother-of-all-breaches/

[12] https://cyberplace.social/@GossiTheDog/111806216942897644

[13] https://nitter.net/troyhunt/status/1749662663712657687

[14] https://www.theregister.com/2024/01/24/dutch_covid_testing_firm_ignored_warnings/
Reacties (15)
25-01-2024, 08:26 door majortom - Bijgewerkt: 25-01-2024, 08:29
Gelukkig nooit een coronatest gedaan. Ik maak me dus geen zorgen. Wel zorgelijk is hoe dit soort bedrijven met dit soort gegevens omgaan. En waarom zijn die resultaten nog steeds opgeslagen? Coronalab valt neem ik aan niet onder de zorgwet, maar is enkel een instituut dat testen uitvoert. En waarom heeft deze organisatie de noodzaak om de persoonsgegevens op te slaan? Dit kan toch heel eenvoudig anders geregeld worden door een monster van een unieke code te voorzien die de zorgverlener enkel aan een patient kan relateren? Zal wel te maken hebben met het niet proportionele (en dus ongrondwetteliijke) CTB vermoed ik.
25-01-2024, 09:02 door Anoniem
Tja het zou me niet verbazen als het klopt. Ik heb bewust geen vaccin genomen en ook geen testen afgelegd behalve de thuiskit om dat ik 0,0 vertrouwen had in de digitale vastlegging en beveiliging van de data. Hadden ze gewoon heel nuchter een test laten afleggen met stempel in een vacin boekje hadden we al deze sht nooit gehad. Maar nee dat was te fraude gevoelig en ironisch onveilig.

Wel mensen hier heb je het mogelijke resultaat van paniek denken door absoluut ongekwalificeerden die discutabele bedrijven verantwoordelijk hebben gemaakt voor verwerking van privacy gevoelige data.

Op naar de volgende
25-01-2024, 09:13 door Erik van Straten
Correctie: onder mijn conclusies noemde ik per ongeluk de naam van een andere bekende securityman, Jeremiah Grossman. Dat moet natuurlijk Jeremiah Fowler zijn, mijn excuses aan beiden en aan de lezers voor de verwarring!

Helaas kan ik een posting 1 uur na plaatsen niet meer corrigeren.
25-01-2024, 10:06 door Anoniem
Wel zorgelijk is hoe dit soort bedrijven met dit soort gegevens omgaan.
Dit vind ik niet zorgelijk maar onaanvaardbaar dat er zo met gegevens wordt omgegaan.

Het bewijst weer hoe belangrijk een ministerspost voor ict-veiligheid is en dan een minister die begrijpt
wat de gevaren op internet zijn en met de juiste kennis zodat dit niet meer gaat gebeuren.Ik vraag mij
af waarom ik in dit land nooit documentaires zie die mensen waarschuwen voor de gevaren op internet
zodat de gewone burger simpelweg kan begrijpen wat er kan gebeuren als ze hun gegevens overal
achterlaten.
Door Anoniem: Tja het zou me niet verbazen als het klopt. Ik heb bewust geen vaccin genomen en ook geen testen afgelegd behalve de thuiskit om dat ik 0,0 vertrouwen had in de digitale vastlegging en beveiliging van de data. Hadden ze gewoon heel nuchter een test laten afleggen met stempel in een vacin boekje hadden we al deze sht nooit gehad. Maar nee dat was te fraude gevoelig en ironisch onveilig.

Wel mensen hier heb je het mogelijke resultaat van paniek denken door absoluut ongekwalificeerden die discutabele bedrijven verantwoordelijk hebben gemaakt voor verwerking van privacy gevoelige data.

Op naar de volgende

Mee eens. Helaas is de situatie op dit moment zo. De enige manier om je eigen privacy adequaat te beschermen, is op dit moment om géén data te verstrekken aan de privacy-clowns die het op dit moment in de praktijk voor het zeggen hebben. Vandaar ook mijn lopende actie m.b.t. medische privacy: https://www.security.nl/posting/813517/Medische+privacy+-+een+gedeeltelijke+oplossing

M.J.
25-01-2024, 11:45 door Q1
Erik, dank weer voor je verhaal.

Je noemt ook het ISO certificaat. Mijn ervaring is ook dat regelmatig onterecht met een (ISO) certificaat geschermd wordt als bewijs van kwaliteit of veiligheid.
Als een bedrijf met een certificaat wappert, vraag dan altijd het SoA (Statement of Applicability) op. Daarin staat welk onderdeel van het bedrijf is gecertificeerd en waarvoor. Zo ben ik bv. een beheerpartij tegen gekomen (beheer van systemen bij klanten) die ISO gecertificeerd was. Alleen het ISO certificaat had betrekking op het ontwikkelen van interne tooling, niet op externe dienstverlening.

Q
25-01-2024, 12:20 door Erik van Straten
De website van de US ambassade in Nederland noemt Coronalab.eu nog bovenaan het lijstje met commerciële testaanbieders.

Die pagina, https://nl.usembassy.gov/covid19-testing/, begint (onder de header) overigens met:
Effective January 26, all airline passengers to the United States ages two years and older must provide a negative COVID-19 viral test taken within three calendar days of travel.
26 Januari, morgen dus? In de hele pagina is geen jaartal te bekennen. De link in de header verwijst zo te zien wel naar actuele info ("Level 2: exercise increased caution").

Wij mensen maken allemaal slordige fouten (ook ik, zie boven). Voor hoe meer mensen o.a. de vertrouwelijkheid en betrouwbaarheid van informatie van belang is, hoe meer "ogen" zouden moeten checken of aan de verwachtingen of eisen wordt voldaan. Bij de typische lowest-budget-possible uitbestedingen van ICT door cowboys aan cowboys lijkt de prijs voor consumenten "competitief", maar steeds vaker krijgen zij achteraf een onverwachte extra rekening gepresenteerd.

M.i. los je dit probleem alleen maar op door concurrentievervalsing beter op te sporen én onafhankelijke audits en pentests te verplichten én door alsnog optredende datalekken keihard te bestraffen. Het risico voor genoemde cowboys is nu veel te klein; de ICT-cowboys zijn slechts "verwerkers" en de eindverantwoordelijken, de uitbestendende cowboys, komen veel te vaak weg met stellen dat zij "dachten" dat de gekozen ICT-cowboy wel goed werk zou leveren (notabene voor het overeengekomen lage budget).

Helaas verwacht ik geen significante verbeteringen; die zijn namelijk niet in het belang van grote commerciële partijen, die veel -maar toch aanzienlijk minder- geld kwijt zijn aan lobbyisten dan aan informatiebeveiliging. En als niet álle consumenten en/of burgers het op gaan nemen voor de uiteindelijke slachtoffers van dit systeem, door verbeteringen te eisen, gaat er zeker niets veranderen. Zoals het nu gaat neemt het aantal grote datalekken alleen maar toe.
25-01-2024, 12:43 door Anoniem
Kan iemand Hugo en Brenno naar de kamer roepen?
25-01-2024, 12:45 door Anoniem
Ben opzich een leek, maar leer veel van deze nieuwssite en reacties.

Ik heb ooit eenmaal een test gedaan voor een buitenland reis. verder aan dat circus niet meegedaan. Gelukkig niet bij dit testlab kwam ik net achter.

wat me zojuist opviel is dat de eigenaar van het commerciële testlab bedrijf daarna een bedrijf is opgestart dat dmv data verzamelingen, een A.I. gestuurd diagnose manier heeft gecreeërd voor de medische wereld. Bedrijf genaamd Aiosyn.
https://www.aiosyn.com/news/the-digital-revolution-in-pathology-the-power-of-ai-in-computational-pathology/

https://www.eu-startups.com/2022/12/dutch-startup-aiosyn-raises-e2-million-to-harness-the-power-of-ai-for-better-clinical-diagnostics/
(met ook een melding van ISO certificaat)

Ook lees ik in een artikel uit 2021;
Testaanbieder Coronalab.eu biedt al op kleine schaal soa-testen aan, maar is van plan dat flink uit te breiden. “Niet alleen met soa-testen, maar ook met veel meer preventieve en diagnostische testen. De testen worden thuis afgenomen, naar het lab gestuurd en geanalyseerd”, zegt medeoprichter Patrick de Boer tegen BNR.

Mijn korte zoektocht naar de voortgang van dit bedrijf staat wellicht los van het nieuwsbericht over het datalek. Maar ik vind het behoorlijk onthutsend dat de eigenaar nog steeds er commerieel een slaatje uit slaat met het verzamelen van data. Goed businessmodel bedacht in coronatijd. Gruwelijk fout dat het bedrijf zeer onzorgvuldig omgaat met die gegevens en het nalaat correct te handelen na een melding.
25-01-2024, 12:48 door Anoniem
Hoe zal het gaan bij pandemie X coming to a theatre near you on 2025?
25-01-2024, 23:06 door Erik van Straten
Eind van de middag schreef Anoniem in https://www.security.nl/posting/826832/Onderzoeker%3A+Nederlands+lab+lekte+grote+hoeveelheid+gegevens+coronatests#posting826931, gevolgd door een kopie van mijn reactie daarop:
Door Anoniem: Vanavond interviewt de podcast Angrynerds (angrynerdspodcast.nl) Jeremiah Fowler, de schrijver van het oorspronkelijke stuk. Vanaf 20:00 live op de youtubes.
Dank! Ik heb live gekeken om 20:00, terug te zien op https://www.youtube.com/watch?v=Yc8obR6jrf0. Goed om het e.e.a. van Jeremiah Fowler zelf te horen. Zijn indruk was dat Coronalab later door Microbe&Lab zou zijn overgenomen, en er wordt wat gespeculeerd dat daardoor de database "vergeten" zou zijn.

Mijn indruk (in elk geval gisteravond) was dat Coronalab van het begin af aan een initiatief was van Microbe&Lab, maar daar zou ik mij in kunnen vergissen.
25-01-2024, 23:06 door Erik van Straten - Bijgewerkt: 25-01-2024, 23:07
Sorry, dubbele post.
26-01-2024, 21:14 door Anoniem
Door Anoniem:
Wel zorgelijk is hoe dit soort bedrijven met dit soort gegevens omgaan.
Dit vind ik niet zorgelijk maar onaanvaardbaar dat er zo met gegevens wordt omgegaan.
Wat ik onacceptabel vond, is de verificatie van mijn telefoonnummer a.d.h.v. alle cijfers (terwijl mijn nummer nauwelijks variatie heeft).

Liep hoog op, "als u niet de uitslag ontvangt omdat 1 nummer fout is, is dat uw schuld".
En vervolgens ontving ik de uitslag niet, omdat 1 nummer fout was.
Maar wel vreemd dat de afspraakbevestiging eerder wel aankwam...

Oftwel, de gegeven waren reeds bekend (anders kun je ook niet verifieren), en waren correct (gezien de ontvangen SMS), maar mevrouw had een post-covid ego-probleem of is te graag autoritair, maar heeft sowieso overduidelijk doelbewust gesaboteerd, terwijl zo'n attest toen toch zo'n E 85 kostte.

Tot zover mijn ervaring met deze kindercreche.
27-01-2024, 19:50 door Anoniem
Het zou heet interessant zijn om te kijken of de PCR CT waarde (de cycle count) waarbij de test positief werd per patient ook gelekt is!

De CT waarden voor positieve PCR testen die gebruikt zijn zijn nog altijd niet openbaar gemaakt,
zogenaamd ivm. privacy (terwijl in ieder geval doden geen privacy kunnen claimen, en de PCR test data ook anoniem publiek gemaakt had kunnen worden).

De CT waarde bepaalt de gevoeligheid van de test, met iedere cyclus verdubbelt het detecteerbare DNA materiaal.
het verhogen van de CT waarde van 25 naar 35 maakt de test 1024 maal gevoeliger, en naar 45 meer dan een miljoen maal gevoeliger. Het is bekend dat de PCR CT grenswaarde gedurende de lockdown sterk gevarieerd is, en het RIVM wilde hier geen openheid over geven.

Een grafiek met positieve testwaarden is op zijn zachtst gezegd misleidend als de gevoeligheid van de test duidenden malen varieert in de loop van de grafiek!
27-01-2024, 20:53 door Anoniem
Door Anoniem: Het zou heet interessant zijn om te kijken of de PCR CT waarde (de cycle count) waarbij de test positief werd per patient ook gelekt is!

De CT waarden voor positieve PCR testen die gebruikt zijn zijn nog altijd niet openbaar gemaakt,
zogenaamd ivm. privacy (terwijl in ieder geval doden geen privacy kunnen claimen, en de PCR test data ook anoniem publiek gemaakt had kunnen worden).

De CT waarde bepaalt de gevoeligheid van de test, met iedere cyclus verdubbelt het detecteerbare DNA materiaal.
het verhogen van de CT waarde van 25 naar 35 maakt de test 1024 maal gevoeliger, en naar 45 meer dan een miljoen maal gevoeliger. Het is bekend dat de PCR CT grenswaarde gedurende de lockdown sterk gevarieerd is, en het RIVM wilde hier geen openheid over geven.

Een grafiek met positieve testwaarden is op zijn zachtst gezegd misleidend als de gevoeligheid van de test duidenden malen varieert in de loop van de grafiek!
En wat doet dat er exact toe?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.