Een app die de Zuid-Koreaanse overheid ontwikkelde voor mensen die in quarantaine moeten heeft de privégegevens van 162.000 gebruikers gelekt. Het gaat om naam, geboortedatum, geslacht, nationaliteit, adresgegevens, telefoonnummer, real-time locatie en medische klachten. Vanwege de snelheid waarmee de Zuid-Koreaanse overheid de app wilde lanceren was er geen uitgebreide veiligheidscontrole uitgevoerd, zo laat het aan The New York Times weten.

Alle reizigers die Zuid-Korea binnenkomen moeten ongeacht hun nationaliteit verplicht veertien dagen in quarantaine. Wie in zelf-quarantaine gaat moet de 'Self-Quarantine Safety Protection App' installeren. Software-engineer Frédéric Rechtenstein, die in Seoul woont, moest de app ook gebruiken nadat hij in mei terugkwam van een reis naar het buitenland. Nieuwsgierig naar de werking van de app besloot hij die te onderzoeken en ontdekte daarbij verschillende kwetsbaarheden.

De app-ontwikkelaars kenden gebruikers user-ID's toe die eenvoudig waren te raden. Een aanvaller zou door het raden van een user-ID de persoonlijke data van de betreffende gebruikers kunnen opvragen. Daarnaast maakte de app gebruik van een zelfontwikkelde encryptiemethode voor het uitwisselen van data met de server. De encryptiesleutel, "1234567890123456", bevond zich in de code van app. Een aanvaller zou zo, bijvoorbeeld in het geval van een onbeveiligd wifi-netwerk, het verkeer kunnen onderscheppen en ontsleutelen.

De kwetsbaarheden maakten het niet alleen mogelijk om privégegevens van gebruikers op te vragen, ook konden aanvallers de gegevens veranderen zodat het leek alsof iemand het quarantainebevel had overtreden, of nog steeds in quarantaine was terwijl hij of zij zich in werkelijkheid ergens anders bevond.

De kwetsbaarheden zijn aan de Zuid-Koreaanse overheid gerapporteerd en werden vorige week via nieuwe versies verholpen. "We hadden erg veel haast om deze app zo snel als mogelijk te ontwikkelen en uit te rollen om de verspreiding van het virus tegen te gaan", zegt Jung Chan-hyun van het Zuid-Koreaanse ministerie van Binnenlandse Zaken. "We konden geen tijdrovende veiligheidscontrole van de app veroorloven die de uitrol zou vertragen." Er zijn bij de overheid geen meldingen van misbruik van de kwetsbaarheden binnengekomen.