Security Testen voor Toegang ontoereikend

testen

Testen voor Toegang, het platform van de Stichting Open Nederland dat in opdracht van Het Rijk coronatesten faciliteert voor evenementen waarbij test- of vaccinatiebewijzen verplicht zijn, had zijn e-mailinstellingen niet op orde. Daardoor was spoofing van het afzenderadres mogelijk.

Foute instelling

Het Financieele Dagblad schrijft dat Testen voor Toegang zijn Sender Policy Framework Record niet had ingesteld; dat is een authenticatiemethode die ontworpen is om het vervalsen van het afzenderadres te voorkomen. Het lukte de krant, in samenwerking met securitybedrijf KnowBe4, om een e-mail naar zichzelf te versturen met als afzender informatie@testenvoortoegang.org.

Dat was mogelijk omdat het zogenaamde SPF-record niet was ingesteld. Deze instelling geeft aan welke servers uit naam van het domein — in dit geval dus testenvoortoegang.org — e-mails mogen versturen. Staat hier niets ingevuld, dan is elke e-mailserver bevoegd. Door de foute instelling hadden kwaadwillenden de afgelopen tijd vrij gemakkelijk phishing-e-mails kunnen versturen naar wie dan ook

Eigen beheer Testen voor Toegang

Twee weken geleden lanceerde deze stichting in eigen beheer een nieuwe website voor het maken van testafspraken. Nu de besmettingen in rap tempo dalen en het aantal gevaccineerden toeneemt, wordt het weer mogelijk evenementen te bezoeken. Zo is bij het International Filmfestival Rotterdam (IFFR) dat op 2 juni begint, publiek welkom. Voor entree moeten bezoekers een negatief testbewijs laten zien.
De nieuwe site testenvoortoegang.org moest het bestaande afsprakenplatform van pilotpartner Lead Healthcare, dat afgelopen maanden is gebruikt, vervangen. Deze maand richten zeven nieuwe commerciële aanbieders teststraten in, voor als de versoepelingen ingaan. Bij de lancering van de nieuwe site waren er problemen met het boeken van afspraken.

Schade door phishing

De Nederlandse Vereniging van Banken meldde vorige maand nog dat phishing en telefoonnummerspoofing in het betalingsverkeer in 2020 sterk toenam. De schade door phishing steeg met ruim zestig procent tot 12,8 miljoen euro. Nummerspoofing zorgde voor ruim twee keer zoveel schade.

Gerelateerde berichten...

X