image

Verplichte corona-app Qatar lekte gegevens van één miljoen gebruikers

dinsdag 26 mei 2020, 15:10 door Redactie, 9 reacties

Een kwetsbaarheid in de verplichte corona-app van Qatar maakte het mogelijk om toegang tot gevoelige persoonlijke gegevens van meer dan één miljoen gebruikers te krijgen. Het ging onder andere om naam, nationaal identiteitsnummer, gezondheidsstatus en locatiegegevens, zo meldt Amnesty International op basis van eigen onderzoek.

De Ehteraz-app is ontwikkeld door het ministerie van Binnenlandse Zaken van Qatar en maakt gebruik van gps en bluetooth om contacten van gebruikers bij te houden. Afgelopen vrijdag werd het verplicht voor burgers om de app te installeren. Wie de app niet installeert kan een gevangenisstraf van drie jaar en een boete van 50.000 euro krijgen. Gegevens die de app verzamelt worden naar een centrale server van de overheid geüpload. Daarnaast kunnen de autoriteiten real-time de locatie van gebruikers volgen.

De gegevens die naar de server werden geüpload waren echter voor iedereen op internet toegankelijk, aangezien er geen beveiligingsmaatregelen aanwezig waren om de data te beschermen, aldus Amnesty International. De Ehteraz-app laat via een qr-code de gezondheidsstatus van de gebruiker zien. De qr-code gebruikt een kleurensysteem om de gezondheid van de gebruiker aan te geven.

Zo wordt de kleur rood gebruikt voor mensen die corona hebben. Met geel wordt aangegeven dat de gebruiker in quarantaine hoort te zijn en wordt grijs gebruikt om gevallen aan te geven waarvan wordt verdacht dat de gebruiker corona heeft of is blootgesteld aan het virus. Een groene qr-code geeft aan dat de gebruiker gezond is. Naast de kleur bevatte de qr-code ook persoonlijke informatie over de gebruiker, zoals de naam in het Engels en Arabisch, quarantainelocatie en naam van medische instelling waar de coronapatiënt wordt behandeld.

De qr-code wordt door de app bij de centrale server opgevraagd. Hiervoor maakt de app gebruik van het nationaal identiteitsnummer waarmee de gebruiker zich registreerde. Bij het opvragen van de qr-code vond er geen aanvullende authenticatie plaats. Hierdoor was het mogelijk voor een aanvaller om zich met een willekeurig identiteitsnummer te registreren en vervolgens de qr-code van de burger in kwestie op te vragen. Daar komt bij dat het nationaal identiteitsnummer van Qatar een consistent formaat volgt. Zodoende is het mogelijk om alle combinaties te genereren en daarmee de gegevens van de betreffende Ehteraz-gebruikers op te vragen die op de server waren verzameld.

Amnesty waarschuwde de autoriteiten in Qatar, waarna de namen en locatiegegevens uit de qr-code werden verwijderd. Daarnaast werd er afgelopen zondag een nieuwe versie van de app uitgebracht die voorkomt dat onbevoegden gegevens van gebruikers kunnen verzamelen. Amnesty heeft de nieuwe aanpassingen nog niet getest.

Image

Reacties (9)
26-05-2020, 15:44 door spatieman
Vraag me af of iemand die data al verkocht heeft aan facebook en de nsa.
26-05-2020, 17:19 door Anoniem
Die mensen die de gevangenisstraf van drie jaar en een boete van 50.000 euro gekregen hadden, krijgen ze dan dat geld nu terug en worden ze dan ook bevrijd?
26-05-2020, 19:27 door Anoniem
Door Anoniem: Die mensen die de gevangenisstraf van drie jaar en een boete van 50.000 euro gekregen hadden, krijgen ze dan dat geld nu terug en worden ze dan ook bevrijd?
Qatar is een dictatuur, zo werkt het daar niet.
26-05-2020, 19:46 door linux4
Door Anoniem: Die mensen die de gevangenisstraf van drie jaar en een boete van 50.000 euro gekregen hadden, krijgen ze dan dat geld nu terug en worden ze dan ook bevrijd?

Grapjas, in Qatar? De monarch heeft daar absolute macht, soort dictatuur. Helaas gaan westerlingen erg graag naar toe, voetbal enz. Alles draait om geld daar. Qatar is gewoon een veredelde zandbak met veel olie in de grond. Als dat niet zo was geweest vraten ze daar nu alleen sprinkhanen...
27-05-2020, 09:27 door DLans
Waar is Karma nu? Die is toch groot voorstander van verplichte apps? Wat kan er nou foutgaan joh =)
27-05-2020, 11:45 door Anoniem
Door linux4:
Door Anoniem: Die mensen die de gevangenisstraf van drie jaar en een boete van 50.000 euro gekregen hadden, krijgen ze dan dat geld nu terug en worden ze dan ook bevrijd?

Grapjas, in Qatar? De monarch heeft daar absolute macht, soort dictatuur. Helaas gaan westerlingen erg graag naar toe, voetbal enz. Alles draait om geld daar. Qatar is gewoon een veredelde zandbak met veel olie in de grond. Als dat niet zo was geweest vraten ze daar nu alleen sprinkhanen...

“You know what the business community thinks of you? They think that a hundred years ago you were living in tents out here in the desert chopping each other's heads off and that's where you'll be in another hundred years.”
27-05-2020, 11:54 door SPer
Dit werkt weer op mijn lachspieren, waar blijft ons ministerie van VWS ? Of Grapperhaus ? De mensen die denken dat het doorbreken van encryptie alleen maar gebruikt zal worden door de overheid ?

En inderdaad Karma4 schittert natuurlijk ook door afwezigheid, maar let op mijn woorden die komt nog ;-)
27-05-2020, 11:58 door SPer
Wat doe Quatar trouwens met mensen die geen Smartphone hebben ? Krijgen die er een ? In ieder geval zal het bij mensen zonder smartphone lastig zijn om te controleren of je de app wel of niet hebt geinstalleerd, je hebt immers geen smartphone ;-)
(catch 22).
27-05-2020, 12:22 door Anoniem
Allemaal al eens voorspeld door M. Gadafi en zijn voorzeggende woorden komen nu vooral in versneld tempo uit.
Niet alleen de voorspelde ellende in Europa.

Hij was goed voor z'n volk en zou hen zeker een smartphone cadeau hebben gedaan
In het land van de geplande gouden dinar was veel gratis. Maar het is helemaal anders gelopen.

We weten inmiddels hoe het met hem afliep, Dajal kreeg hem al vroeg te pakken.

J.O.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.