image

GroenLinks wil opheldering van minister over beveiligingslek Infectieradar

donderdag 11 juni 2020, 13:29 door Redactie, 3 reacties

GroenLinks wil opheldering van minister De Jonge over het beveiligingslek in Infectieradar waardoor eenvoudig de medische gegevens van deelnemers konden worden achterhaald. De minister liet deze week weten dat de ontwikkelaar wist van het beveiligingslek en was gevraagd om dit te verhelpen.

Dit was echter niet gebeurd en doordat er geen "dubbelcheck" had plaatsgevonden was het beveiligingslek niet verholpen, aldus De Jonge. Formdesk, het softwarebedrijf waarvan de vragenformulierapplicatie door Infectieradar wordt gebruikt, liet in een reactie weten dat de kwetsbaarheid niet eerder aan het licht was gekomen en ook niet bij het bedrijf was gemeld. "Ik heb werkelijk geen idee waar de minister het over heeft", liet Marco Beuk van Formdesk weten.

GroenLinks-Kamerleden Buitenweg en Ellemeet willen nu opheldering van de minister. "Hoe reageert u op de stellingname van het bedrijf Formdesk dat de kwetsbaarheid in de Infectieradar site niet eerder aan het licht was gekomen en dat het bedrijf geen enkele terugkoppeling had ontvangen over mogelijke risico’s en aanvullende maatregelen die het bedrijf zou moeten doorvoeren?", vragen ze aan De Jonge.

De minister moet daarnaast duidelijk maken door welk bedrijf de veiligheidscheck van Infectieradar is uitgevoerd, op welke datum het beveiligingslek is ontdekt en wanneer dit aan Formdesk is gemeld. Verder willen de Kamerleden weten op welk moment in het proces de dubbelcheck had moeten plaatsvinden als men die niet was vergeten.

Afsluitend vragen Buitenweg en Ellemeet of het ministerie en Formdesk nog contact met elkaar hebben gehad na het nieuws over het datalek en de uitspraken van de minister. "Zo ja, hoe kan het dat er dan alsnog een grote discrepantie lijkt te bestaan tussen uw ministerie en het bedrijf Formdesk over de feitelijke gang van zaken rond het proces van de veiligheidschecks voor de Infectieradar site?", aldus de Kamerleden. De Jonge heeft drie weken de tijd om de vragen te beantwoorden.

Reacties (3)
11-06-2020, 14:48 door Anoniem
Het is maar wat je een lek noemt. Natuurlijk is het AVG technisch een lek, maar voor mijn gevoel is het gewoon een stomme blunder. Iedereen kan op zijn vingers natellen, dat een pagina die geladen wordt op basis van een 'registratienummer' en dan niet kan controleren of dat dit bij de persoon hoort, die het aanvraagt.

Privacy gevoelige gegevens moeten via een code worden benaderd. Laat de gebruiker inloggen op die pagina, wissel een sleutelpaar uit en gebruik dat om de identificatie te versleutelen. Zorg dan, dat het resultaat een beveiliging bevat die niet werkt bij het ombouwen van de URL en je bent er. Ik weet het, dat klinkt makkelijk maar zal het niet zijn. Dus denk na over wat je doet, maar doe het goed.
11-06-2020, 15:05 door Anoniem
"Ik heb werkelijk geen idee waar de minister het over heeft", liet Marco Beuk van Formdesk weten.
is Marco daar de directeur of verkoper ofzo?
anders zou ik toch zeggen dat ie schrikt en excuses gaat verzinnen zodra iemand een IDOR probleem in zijn product
ontdekt, in plaats van "niet van bekend" eerder iets van "normaal niet te exploiteren", "product is voor intranet", e.d.
11-06-2020, 16:25 door karma4 - Bijgewerkt: 11-06-2020, 16:26
Door Anoniem: is Marco daar de directeur of verkoper ofzo?
klopt, het is de eigenaar/directeur, is snel te vinden.
…. in plaats van "niet van bekend" eerder iets van "normaal niet te exploiteren", "product is voor intranet", e.d.
Hij netjes een pagina met bounty voor melden van lekken. Er werd eerst naar RIVM gewezen als bouwer van de applicatie, bleek niet zo te zijn. Met een directe melding en het bekend zijn van de externe verwerking had het opgepakt moeten zijn.
Ik mis nog wat ze aangepast hebben. Het is geen echt IDOR lek maar een gebrek aan een sessie koppeling.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.