Door een groot lek bij een testbedrijf was het voor iedereen mogelijk om valse reis- en toegangsbewijzen in de app CoronaCheck te krijgen. Ook zijn de privégegevens van ruim 60.000 mensen die bij dit bedrijf een coronatest hebben gedaan gelekt.
Dat blijkt uit onderzoek van RTL Nieuws. Het lek zit bij Testcoronanu, een testbedrijf met tien locaties in Nederland en drie in België dat is aangesloten bij het initiatief Testenvoorjereis.nl. Het bedrijf wordt daardoor niet alleen door de overheid aangeraden om je te laten testen, maar ook met belastinggeld gesubsidieerd.
Door het lek kon iedereen in de coronadatabase van het testbedrijf neuzen en daar kinderlijk eenvoudig, door twee regels code in je browser in te voeren, je eigen negatieve test toevoegen. Je vult zelf de juiste gegevens in en krijgt vervolgens automatisch een geldig CoronaCheck-bewijs op de door jou ingevulde naam - zonder dat je bent gevaccineerd, daadwerkelijk bent getest of hersteld bent van corona.
Per direct gestopt
Het ministerie van Volksgezondheid, Welzijn en Sport (VWS) heeft na melding door RTL Nieuws het testbedrijf afgesloten van zijn systemen, waardoor er geen testen of toegangsbewijzen meer kunnen worden uitgegeven. Ook moet het testbedrijf van de Autoriteit Persoonsgegevens per direct stoppen met testen omdat de gegevens daar niet veilig zijn.
Volgens experts zijn valse coronabewijzen een gevaar voor de volksgezondheid en funest voor het vertrouwen in CoronaCheck, de app die wordt gebruikt om te reizen en de samenleving volgens de overheid weer 'open' moet krijgen.
Het coronabewijs
In de database van het testbedrijf kon je zelf invullen wat voor test je wilde, bijvoorbeeld antigeen of pcr, wanneer deze is afgenomen en wat het resultaat is. Daarna kon je een Nederlands of Europees coronabewijs maken die beide worden geaccepteerd voor evenementen en reizen. Ook krijg je automatisch een reiscertificaat van Testcoronanu met daarop de handtekening van een dokter dat je negatief bent getest.
De gegevens die bij het bewijs worden gecontroleerd, zoals je volledige naam en geboortedatum, kon je naar eigen wens invoeren, bijvoorbeeld voor jezelf of een ander. Het was ook mogelijk om de gegevens van anderen aan te passen, zoals hun negatieve test te veranderen naar een positieve. Of door de testdatum aan te passen waardoor een coronatest niet meer geldig is.
'Waardeloze app'
Dat de database van het testbedrijf voor iedereen toegankelijk was, is "één van de grootste fouten die je kunt maken", zegt Dave Maasland, directeur van cyberbeveiligingsbedrijf ESET Nederland. "Iedereen met een internetverbinding kan gewoon gegevens aanpassen in een coronadatabase. Je gaat je afvragen: wie hebben er allemaal nog meer op deze manier misbruik van gemaakt?"
Het lek roept ook de vraag op hoe betrouwbaar CoronaCheck eigenlijk is. "Enige vorm van betrouwbaarheid is nu helemaal weg", stelt hoogleraar microbiologie Bert Niesters van het Universitair Medisch Centrum Groningen. "Er was al bij deze app geen goede controle aan de deur en nu ook de besmettingen door de Delta-variant ontzettend stijgen, is het totaal onverantwoord om deze app nog te gebruiken voor evenementen waar geen anderhalve meter kan worden gehouden. Deze app is eigenlijk waardeloos."
Datalek tienduizenden mensen
Het lek in de database gaf ook toegang tot de privégegevens van ruim 60.000 mensen die bij Testcoronanu een test hebben gedaan. Het gaat om volledige namen, woonadressen, e-mailadressen, telefoonnummers, burgerservicenummers (bsn's), paspoortnummers en medische gegevens zoals of je positief of negatief bent getest. Van honderden mensen stond hun positieve coronatest in het systeem.
Deze gegevens zijn niet alleen zeer gevoelig, maar kunnen ook worden misbruikt door cybercriminelen. Hoe meer gegevens een crimineel over jou heeft, hoe makkelijk je kan worden gehackt, in phishing trapt of er identiteitsfraude wordt gepleegd.
"Dit datalek is heel schokkend", reageert hoogleraar ICT & Recht Frederik Zuiderveen Borgesius van de Radboud Universiteit. "Veel gevoeliger dan dit wordt het niet. Dit is juist waar medische privacy voor is: dat mensen zich durven te laten testen omdat ze erop moeten kunnen vertrouwen dat hun gegevens veilig zijn. Je merkt dat dit nog niet voldoende leeft bij partijen die sinds kort massaal de testindustrie zijn ingestapt, en daardoor gaat het nu zo mis."
Testcoronanu verwijdert bsn's wel een aantal dagen na de test. Door de database regelmatig uit te lezen en alle bsn's op te vragen kun je die beveiliging omzeilen, maar het zorgt er wel voor dat niet van iedereen het bsn is gelekt.
Alle locaties gesloten
Testcoronanu, met in totaal dertien locaties, is populair omdat veel influencers daar een coronatest doen. Onder andere Dave Roelvink, Bilal Wahib, Enzo Knol, Najib Amhali en Jamie Vaes, samen goed voor miljoenen volgers, hebben de beelden van hun test op Instagram gezet, het testbedrijf genoemd en daarmee reclame gemaakt.
Na melding door RTL Nieuws heeft Testcoronanu de website offline gehaald om het lek te dichten. Alle locaties zijn sinds zondag gesloten vanwege "onvoorziene omstandigheden", mensen die een testafspraak hadden staan worden verzocht een afspraak te maken bij een andere aanbieder.
Het testbedrijf gaat alle klanten vandaag over het datalek informeren en huurt een externe IT-specialist in om het lek te onderzoeken. "Dit mag natuurlijk nooit meer gebeuren", aldus een woordvoerder.
De Autoriteit Persoonsgegevens noemt het datalek "zeer ernstig" en stelt dat het bedrijf pas weer mag beginnen met testen en het verwerken van gegevens als "de veiligheid en betrouwbaarheid zijn gegarandeerd".
Hoe zit het lek technisch in elkaar?
Testcoronanu maakt gebruik van Googles databasesysteem Firestore. Zodra je een account hebt op de site, heb je ook toegang tot deze volledige database. Normaal zit daar nog een digitale muur tussen, zodat je als normale gebruiker niet zelfstandig de database kan doorzoeken.
In de browser kun je commando's uitvoeren om de database te doorzoeken. RTL Nieuws heeft opgezocht hoeveel mensen en gegevens in de database stonden, en heeft zijn eigen gegevens aangepast om een negatief testbewijs te krijgen. Dat testbewijs kon via CoronaCheck worden omgezet in een QR-code.
Het is voor testaanbieders, en eigenlijk iedereen die een database beheert, belangrijk om in de gaten te houden welke gebruikers welke rechten hebben, en wie de database kan raadplegen. Google heeft diverse documenten gemaakt om de Firestore-database beter te beveiligen, bijvoorbeeld door de open toegang aan te passen.
Onderzoek VWS
Het ministerie van VWS gaat onderzoek doen naar hoe Testcoronanu, ondanks het gapende gat in hun database, is geaccepteerd als een betrouwbare partner. Deze testbedrijven moeten allerlei documenten aanleveren waaruit blijkt dat ze "aan de hoogste dataveiligheids- en privacyeisen voldoen".
Volgens het ministerie zijn er "geen signalen" dat anderen dan de journalist toegang hebben gehad tot de gegevens. "Naast het dichten van het lek door de aanbieder hebben we gelijk ingezet op het vinden van een oplossing voor reizigers wiens test nu niet door kan gaan of die nog wachten op een testuitslag", laat een woordervoer weten.
De Autoriteit Persoonsgegevens gaat bij het ministerie van VWS opheldering vragen hoe het kan dit testbedrijf een officiële partner is geworden: "Mensen moeten er vanuit kunnen gaan dat de overheid dit goed en veilig regelt."
