image

Onderzoeker: Nederlands lab lekte grote hoeveelheid gegevens coronatests

donderdag 25 januari 2024, 10:35 door Redactie, 14 reacties

Een Nederlands testlab heeft een grote hoeveelheid gegevens over coronatests gelekt, waaronder naam, paspoortnummer en uitslag, zo stelt beveiligingsonderzoeker Jeremiah Fowler. De onderzoeker trof een onbeveiligde database aan met 1,3 miljoen records, waaronder 118.000 coronacertificaten, bijna 507.000 afspraken en 660.000 testmonsters. Elke test bevatte naam, nationaliteit, paspoortnummer en testresultaten, alsmede prijs en het soort uitgevoerde test.

De gelekte certificaten en andere documenten waren allemaal voorzien van de naam en het logo van Coronalab.eu. De website is inmiddels offline. "Coronalab helpt particulieren en bedrijven met het testen op COVID-19. Dit doen we met een snelle service waarbij altijd dezelfde dag de uitslag volgt. Bij ons kan je terecht voor de PCR test, de Sneltest en de Serologische test. Onze coronatesten zijn inclusief gratis certificaat", aldus de tekst op een bewaard gebleven kopie.

Fowler zegt dat hij het laboratorium achter Coronalab.eu meerdere keren probeerde te waarschuwen en het zelfs telefonisch probeerde, maar zonder resultaat. "De database bleef bijna drie weken open voordat ik de cloudhostingprovider informeerde en die eindelijk werd beveiligd." Hoelang de database open stond is onbekend. Security.NL heeft het lab om een reactie gevraagd. Ook The Register deed dit, maar zegt niets van het bedrijf te hebben gehoord.

Reacties (14)
25-01-2024, 10:45 door Anoniem
Doet me gelijk hieraan denken; (Aan wie DNA-gegevens worden doorverkocht)
Men vernietigd de DNA inderdaad, maar wat men met de digitale DNA-imprint doen is niet duidelijk...
https://nos.nl/op3/artikel/2356388-de-ondoorzichtige-wereld-achter-de-corona-wattenstaaf
25-01-2024, 11:03 door Anoniem
Goh. Niet raar. Maar volgens onze regenten was het allemaal veilig.
Waarom geloofde ik ze toen al niet? Nou, hierom dus. En dan vinden de regenten het raar dat je ze niet meer vertrouwt.
25-01-2024, 11:06 door Anoniem
Aan de ene kant gaat de deur open en loop je een net gebouw binnen met nette mensen die je helpen met je test, zodra ze klaar zijn gaat de achterdeur open, worden de informatie op straat gegooit en verdeeld onder een stel hongerige straatwolven.
Niet te vergeten dat de AIVD ook alle info van derden mag meepakken via de sleepwet.
Ben blij dat ik zelf geen tests heb laten doen en doe dat de vokgende keer ook niet, sheesh!
25-01-2024, 11:09 door Erik van Straten - Bijgewerkt: 25-01-2024, 11:10
Dank @Redactie voor dit verder onder de aandacht brengen, hopelijk wordt dit snel opgepakt door de reguliere media.

Gisteravond laat schreef ik er een uitgebreid stuk over (het lek is gemeld door twee verschillende en onafhankelijke bronnen), zie
https://www.security.nl/posting/826805/#coronalab.eu_(A'dam):_datalek?
25-01-2024, 11:19 door Anoniem
Door Erik van Straten: Dank @Redactie voor dit verder onder de aandacht brengen, hopelijk wordt dit snel opgepakt door de reguliere media.

Gisteravond laat schreef ik er een uitgebreid stuk over (het lek is gemeld door twee verschillende en onafhankelijke bronnen), zie
https://www.security.nl/posting/826805/#coronalab.eu_(A'dam):_datalek?
Mee eens!
U heeft onze dank!
25-01-2024, 11:59 door Anoniem
Coronalab.eu mag an wel uit de lucht zijn, het is onderdeel van https://microbe-lab.com/.
https://microbe-lab.com/storage/uploads/2021/05/Privacy-verklaring-coronalab.pdf
25-01-2024, 11:59 door Anoniem
De uitgelekte documenten bestrijken een periode van 2020 tot en met november 2022. De gegevens omvatten namen, nationaliteiten, geboortedata, paspoortnummers, COVID-19-testresultaten, e-mail adressen en telefoonnummers van patiënten. Hierdoor lopen de gedupeerden een risico op criminaliteit, variërend van phishing tot identiteitsdiefstal.

Coronalab.eu, a Dutch online platform for Covid-19 testing, left a misconfigured Google Cloud Storage bucket with 1.7 million files, covering 11.7 million records on individuals from 44 countries, the Cybernews research team has revealed. The open bucket was dubbed “prod,” suggesting that Coronalab used it to store and manage data used in their operational and production IT environments.

https://nltimes.nl/2024/01/24/nearly-13-million-patient-records-leaked-dutch-covid-19-testing-service

Volgens Cybernews zitten er ook cijfers uit het Verenigd Koninkrijk, de Verenigde Staten, Duitsland en Italië in het lek.

https://cybernews.com/security/coronalabeu-tests-leak-expose-patient-data/
25-01-2024, 12:54 door Anoniem
Door Anoniem: Doet me gelijk hieraan denken;

Jouw DNA naar Abu Dhabi?
23 september 2020 door Erik van Straten

https://www.security.nl/posting/671730/Jouw+DNA+naar+Abu+Dhabi%3F

Dit onzalige plan werd uiteindelijk door toenmalig minister De Jonge afgeblazen.
25-01-2024, 12:56 door Erik van Straten
Door Anoniem: Coronalab.eu mag an wel uit de lucht zijn, het is onderdeel van https://microbe-lab.com/.
https://microbe-lab.com/storage/uploads/2021/05/Privacy-verklaring-coronalab.pdf
Dank, die had ik nog niet gevonden.

Echter, https://web.archive.org/web/20230331222447/https://coronalab.eu/privacyverklaring/ is uitgebreider; in elk geval is deze voorzien van een soort samenvatting vóór de inleiding. Opmerkelijk daarbij, uit beide:
Deze privacyverklaring is voor het laatst bijgewerkt op 16 april 2021.

De geboortedatum en het paspoortnummer worden in geen van beide documenten genoemd, maar moesten kennelijk wel worden verstrekt. Ik zie ook niets over een eventueel land van reisbestemming.

Het moederbedrijf van Coronalab.eu-concurent "HetHuisartsenLab" (https://www.u-diagnostics.com/hethuisartslab) vermeldt in haar privacyverklaring [1] dat ook om het BSN gevraagd kan worden. Ik heb echter geen aanwijzingen gezien dat bij het kennelijke datalek van Coronalab.eu ook BSN's betrokken zouden zijn. Aan de andere kant is het goed denkbaar dat buitenlandse onderzoekers niet weten wat een "BSN" is en dat het lekken daarvan, raar maar waar, extra risico's oplevert voor slachtoffers.

[1] https://static1.squarespace.com/static/6123641cd3e54c0b8e775b7e/t/62349aa3dbe0cb552291840f/1647614627388/Privacyverklaring+UD-Lab+v0.5.pdf
25-01-2024, 13:04 door Anoniem
Ik heb ooit eenmaal een test gedaan voor een buitenland reis. verder aan dat circus niet meegedaan. Gelukkig niet bij dit testlab kwam ik net achter.

wat me zojuist opviel is dat de eigenaar van het commerciële testlab bedrijf daarna een bedrijf is opgestart dat dmv data verzamelingen, een A.I. gestuurd diagnose manier heeft gecreeërd voor de medische wereld. Bedrijf genaamd Aiosyn.
https://www.aiosyn.com/news/the-digital-revolution-in-pathology-the-power-of-ai-in-computational-pathology/

https://www.eu-startups.com/2022/12/dutch-startup-aiosyn-raises-e2-million-to-harness-the-power-of-ai-for-better-clinical-diagnostics/
(met ook een melding van ISO certificaat)

Ook lees ik in een artikel uit 2021;
Testaanbieder Coronalab.eu biedt al op kleine schaal soa-testen aan, maar is van plan dat flink uit te breiden. “Niet alleen met soa-testen, maar ook met veel meer preventieve en diagnostische testen. De testen worden thuis afgenomen, naar het lab gestuurd en geanalyseerd”, zegt medeoprichter Patrick de Boer tegen BNR.

Mijn korte zoektocht naar de voortgang van dit bedrijf staat wellicht los van het nieuwsbericht over het datalek. Maar ik vind het behoorlijk onthutsend dat de eigenaar nog steeds er commerieel een slaatje uit slaat met het verzamelen van data. Goed businessmodel bedacht in coronatijd. Gruwelijk fout dat het bedrijf zeer onzorgvuldig omgaat met die gegevens en het nalaat correct te handelen na een melding.
25-01-2024, 14:08 door EersteEnigeEchte M.J. - EEEMJ - Bijgewerkt: 25-01-2024, 14:18
Titel van het bovenstaande artikel: "Onderzoeker: Nederlands lab lekte grote hoeveelheid gegevens coronatests"

Het wachten is nu op een artikel met de kop: "Onderzoeker: Chinees lab lekte kleine hoeveelheid virusmateriaal."

En dan eronder (ik knutsel het zelf alvast even in elkaar):

Een Chinees testlab heeft een kleine hoeveelheid virusmateriaal gelekt, waaronder gerecombineerde en opgekweekte coronavirussen, zo stelt beveiligingsonderzoeker xxxxxxx. De onderzoeker trof een matig beveiligd laboratorium aan met ca. 1,3 triljoen virussen, waaronder 118 miljard coronavirussen met gain of function. Elk virus bevatte materiaal dat het geschikt maakte om mensen te besmetten.

De gelekte virussen waren allemaal voorzien van kenmerken, gerelateerd aan een eerder onderzoeksvoorstel van P. Daszak e.a. met het oog op Amerikaanse subsidie. De betreffende onderzoeksgroep is inmiddels niet meer actief, maar het onderzoek lijkt korte tijd later in enige vorm in het goedkopere, minder beveiligde Chinese lab te hebben plaatsgevonden. "We moeten doen alsof lableak een conspiracy theory is anders komt ons hele onderzoeksveld in de problemen", aldus de tekst op een bewaard gebleven kopie van berichtenverkeer tussen bij het onderzoeksvoorstel betrokken virologen, die boven water is gekomen via een FOIA-verzoek (Amerikaans Wob-verzoek).

xxxxxxxx zegt dat hij meerdere keren probeerde te waarschuwen en het zelfs telefonisch probeerde, maar zonder resultaat. "Het lab bleef wekenlang open voordat de verspreiding van het virus wereldnieuws werd en de Chinese autoriteiten eindelijk maatregelen namen." Hoelang het laboratorium open stond is onbekend. xxxxxxxxxxxx heeft het lab en de Chinese autoriteiten om een reactie gevraagd. Ook xxxxxxx deed dit, maar zegt niets van het laboratorium te hebben gehoord.

Toch bijzonder hoe makkelijk een artikel over gelekte data bijna één op één te parafraseren valt zodat het over gelekte virussen gaat, en dan de lading dekt. Kennelijk verlopen al die processen op ongeveer dezelfde manier. Bedrijven, wetenschappers, technici en overheden gooien risico's over de schutting naar burgers en proberen daarna hun sporen te wissen.

Zie ook: https://www.maurice.nl/2024/01/19/vingerafdrukken-gevonden/

M.J.
25-01-2024, 16:59 door Anoniem
Vanavond interviewt de podcast Angrynerds (angrynerdspodcast.nl) Jeremiah Fowler, de schrijver van het oorspronkelijke stuk. Vanaf 20:00 live op de youtubes.
25-01-2024, 22:54 door Erik van Straten
Door Anoniem: Vanavond interviewt de podcast Angrynerds (angrynerdspodcast.nl) Jeremiah Fowler, de schrijver van het oorspronkelijke stuk. Vanaf 20:00 live op de youtubes.
Dank! Ik heb live gekeken om 20:00, terug te zien op https://www.youtube.com/watch?v=Yc8obR6jrf0. Goed om het e.e.a. van Jeremiah Fowler zelf te horen. Zijn indruk was dat Coronalab later door Microbe&Lab zou zijn overgenomen, en er wordt wat gespeculeerd dat daardoor de database "vergeten" zou zijn.

Mijn indruk (in elk geval gisteravond) was dat Coronalab van het begin af aan een initiatief was van Microbe&Lab, maar daar zou ik mij in kunnen vergissen.
26-01-2024, 10:30 door Anoniem
https://web.archive.org/web/20240000000000*/Coronalab.eu
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.