De Infectieradar van het RIVM, de site waarop je kunt doorgeven of je corona-gerelateerde klachten hebt, had sinds het begin een datalek. De gegevens van de gebruikers waren daardoor makkelijk te achterhalen. Er is waarschijnlijk geen misbruik van gemaakt.
Dat meldt de NOS, die samen met beveiligingsonderzoeker Tom Wolters onderzoek deed. Het probleem is tijdelijk verholpen en men werkt nu aan een permanente oplossing.
Interne software
Vanaf het begin van de site, op 17 maart, tot afgelopen zaterdagochtend kon volgens de onderzoekers iemand met een beetje technische vaardigheid gemakkelijk antwoorden van bezoekers op medische vragen inzien. De NOS heeft het lek na ontdekking meteen gemeld en inmiddels zijn de vragenlijsten niet meer zichtbaar. Het zou gaan om een lek in externe software.
Mensen die de lijst willen invullen kunnen zich nog wel aanmelden. Wanneer je weer vragenlijsten weer kunt invullen is nog onduidelijk. Een woordvoerder van het RIVM zet tegenover de NOS dat men wel elke dag de bak met binnengekomen formulieren leegmaakte. Dat zou de schade wel kunnen beperken.
Infectieradar
Inmiddels doen zeker 60.000 Nederlanders mee aan deze Infectieradar. Het RIVM kan met deze gegevens de verspreiding van het coronavirus volgen. Het RIVM zou het liefste 100.000 aanmeldingen willen zien om de radar zo goed mogelijk te laten functioneren.
Deelnemers geven via een vragenlijst antwoord op medische vragen. Dat gaat uiteraard om of ze klachten hebben die kunnen wijzen op corona, maar daarnaast vullen de deelnemers ook aanvullende vragen in. Die gaan bijvoorbeeld over gebruik van medicijnen, allergie of roken.
Het formulier met die gegevens bleek niet beveiligd omdat het unieke nummer daarvan zichtbaar was in de adresbalk. Door dat nummer te veranderen kon je het formulier van iemand anders meteen inzien. Je kreeg dan geen namen te zien, want daar vraagt het RIVM niet om, maar wel het e-mailadres, het geboortejaar en de cijfers van de postcode.
De NOS deed na ontdekking eerst een test en daaruit bleek dat je het trucje met de nummers makkelijk kon herhalen. Daarnaast was het ook makkelijk om gericht naar antwoorden van een bepaalde deelnemer te gaan zoeken. Dat kon via het e-mailadres.
