image

Overheid onderzoekt pentest van coronatestbedrijf met onbeveiligde database

zondag 18 juli 2021, 18:06 door Redactie, 19 reacties

De ministeries van Volksgezondheid en Infrastructuur en Waterstaat starten een onderzoek naar de penetratietest die bij het bedrijf Testcoronanu is uitgevoerd. Door een onbeveiligde database van Testcoronanu bleek het voor iedereen mogelijk om testuitslagen in te zien, aan te passen en toe te voegen. Verder bevatte de database de persoonsgegevens van ruim 60.000 personen.

Testcoronanu heeft tien locaties in Amsterdam, Weesp, Nieuwegein, Houten, Zwolle, Alkmaar, Eindhoven, Tilburg, Velp en Utrecht en voert ruim drieduizen testen per dag uit. Het bedrijf was sinds 10 juli aangesloten op CoronaCheck in het kader van Testenvoorjereis. "CoronaCheck sluit aan op de bronsystemen van testaanbieders. Het is allereerst aan elk van de aangesloten partijen om de informatiebeveiliging op orde te hebben", laat De Jonge in een brief aan de Tweede Kamer weten.

Om op CoronaCheck te worden aangesloten moeten testaanbieders ook aan de aansluitvoorwaarden voldoen. Hiervoor moet onder andere een rapport van een penetratietest worden aangeleverd en een DPIA (Data Protection Impact Assesment). Hiermee worden de risico's in kaart gebracht en maatregelen om die te mitigeren.

Beide ministerie starten een onderzoek naar de aangeleverde documenten en in het bijzonder naar de aangeleverde pentest. "Uit een goede pentest had de gevonden kwetsbaarheid namelijk moeten blijken. Mocht dit onderzoek hiertoe aanleiding geven dan zullen de aansluiteisen op CoronaCheck worden aangescherpt", aldus De Jonge.

De minister voegt toe dat elke testaanbieder na de aansluiting op CoronaCheck periodiek wordt gemonitord. Vanwege de recente aansluiting was Testcoronanu nog niet aan bod gekomen. Alle overige testaanbieders worden actief gemonitord, laat De Jonge weten.

Vanwege de gevonden kwetsbaarheid is de aansluiting van Testcoronanu per direct opgeschort. Mocht het bedrijf weer willen worden aangesloten zal het niet alleen zelf een audit moeten kunnen overleggen, maar zal ook de overheid een penetratietest laten uitvoeren.

Reacties (19)
18-07-2021, 18:22 door Erik van Straten
Sowieso biedt een pentest geen garantie dat alle kwetsbaarheden worden gevonden. Vooral niet een time boxed pentest - en zeker niet als er nog (nagenoeg) niets aan beveiliging is gedaan en de pentesters zijn misbruikt on de "gaping holes" te vinden, de opdrachtgever uitsluitend die heeft gefixed en denkt klaar te zijn.

Maar sowieso ga je bij time-limited en/of scope-limited pentests niet alle kwetsbaarheden vinden, en je komt nergens indien deze door flapdrollen zijn uitgevoerd. Daarbij: vakkundige + ervaren pentesters zijn schaars. Kansloos dit, inclusief de kennelijke verwachting van VWS.
18-07-2021, 18:39 door Anoniem
Pentesters geen hoe dan ook niet alles vinden.
Alhoewel de meest voor de hand liggende missers natuurlijk wel gevonden zouden mogen worden. Uiteraard...
18-07-2021, 18:56 door Anoniem
Dit is het zoveelste datalek mbt tot het testen. Weer bewijs dat de overheid en deze bedrijven niks weten van informatiebeveiliging, met dit soort lekken tot gevolg. Is er iemand die nog vertrouwen in dit systeem heeft?!
18-07-2021, 20:51 door Anoniem
Met testen kun je niet bewijzen dat iets bugvrij is of secure. Alleen dat er bugs of insecurities zijn.
18-07-2021, 23:00 door Anoniem
En/of zijn er na de test nog allerlei ongecontroleerde wijzigingen doorgevoerd.
19-07-2021, 00:26 door Anoniem
Waarom wordt hier Microsoft's cloud platform technologie gebruikt? DE eis was toch open source?
19-07-2021, 07:23 door Anoniem
En/of zijn er na de test nog allerlei ongecontroleerde wijzigingen doorgevoerd.
Dat zal het probleem in basis niet zijn. Wel het standaard gepruts: in no-time iets in elkaar flansen waarbij alleen functionaliteit telt. Ohja, iets met beveliging. 5 minuten voordat het live moet. Nou ja, er staat een password op.
Zoiets?

Vertrouwen: in de hele overheid en alles wat er voor werkt... al jaren niet meer. Ze bewijzen steeds vaker dat je er alleen op kunt vertrouwen dat ze het niet voor elkaar hebben. Elke keer weer.
19-07-2021, 08:50 door Anoniem
Het standaard verhaal “we hebben een pentest gedaan”. Als of het pentest de lading dekt.. men dient altijd nog andere testen te doen, bijvoorbeeld URL manipulatie, rommelen met datum en tijd.. etc..etc.. Politiek klinkt het wel handig “we hebben een pentest gedaan” maar beveiligingstechnisch is het onzin.
19-07-2021, 09:18 door [Account Verwijderd]
Testcoronanee.nl

Zij schrijven:
'ZONDAG 18 JULI GESLOTEN
Vanwege onvoorziene omstandigheden zijn helaas al onze locaties gesloten op zondag 18 juli 2021'.


Helaas? Onvoorziene omstandigheden?
Is het niet te voorzien dat je anno 2021 onafwendbaar aan de ketting gaat als je zo nonchalant omgaat met privaatgegevens van klanten? Zelfs de afhaalchinees op de hoek van de straat heeft meer notie van privacy.

Zo'n BV Beunhaas mag natuurlijk niet ontbreken in Circus Coronatest. Anders herkennen wij ons Nederland niet.
19-07-2021, 09:45 door Anoniem
Productie data in een Test omgeving. Schot in de roos. Weet iemand hier welk bedrijf het is die de testen doet voor Testcoronanu?
19-07-2021, 09:48 door Anoniem
Door Anoniem: Waarom wordt hier Microsoft's cloud platform technologie gebruikt? DE eis was toch open source?

Nee hoor, "Testcoronanu maakt gebruik van Cloud Firestore, een databasesysteem van Firebase en Google Cloud. Met alleen een Firebase-account bleek het mogelijk om toegang tot de database van Testcoronanu te krijgen en daar gegevens aan te passen."

Verder maakt het in dit geval niet uit welke software men gebruikt. De toepassing en procedures gingen fout. Dat is het probleem.
19-07-2021, 09:53 door Anoniem
Wat een verrassing. Een "pentester" draait zijn vulnerability-scanner, loopt de eventuele 'high' en 'medium' meldingen na, en levert een rapportje op waarmee aan die aansluitvoorwaarde is voldaan. Mag natuurlijk niet te veel kosten, want dat gaat ten koste van de snelle winst.
19-07-2021, 10:41 door Anoniem
"Uit een goede pentest had de gevonden kwetsbaarheid namelijk moeten blijken. Mocht dit onderzoek hiertoe aanleiding geven dan zullen de aansluiteisen op CoronaCheck worden aangescherpt"

Definieer goede pentest.... weer zo'n container begrip waar je diverse smaakjes en soorten in hebt. En wat is het niveau van infromatieverstrekking aan de pentesters ?

Ik heb al diverse gedaan en ook gezien dat dat essentieel kan zijn.
19-07-2021, 10:50 door Anoniem
Door Anoniem:
Door Anoniem: Waarom wordt hier Microsoft's cloud platform technologie gebruikt? DE eis was toch open source?

Nee hoor, "Testcoronanu maakt gebruik van Cloud Firestore, een databasesysteem van Firebase en Google Cloud. Met alleen een Firebase-account bleek het mogelijk om toegang tot de database van Testcoronanu te krijgen en daar gegevens aan te passen."

Verder maakt het in dit geval niet uit welke software men gebruikt. De toepassing en procedures gingen fout. Dat is het probleem.

Gevalletje "we hebben de security instellingen binnen Firebase/Google Cloud niet goed staan"... dat gaat geen enkele pentest aantonen... ja misschien met een dictionary attack met bekende firebase accounts. Maar ja stond dat in de pentest opdracht ?
19-07-2021, 11:02 door Anoniem
Door Erik van Straten: Sowieso biedt een pentest geen garantie dat alle kwetsbaarheden worden gevonden. Vooral niet een time boxed pentest - en zeker niet als er nog (nagenoeg) niets aan beveiliging is gedaan en de pentesters zijn misbruikt on de "gaping holes" te vinden, de opdrachtgever uitsluitend die heeft gefixed en denkt klaar te zijn.

Maar sowieso ga je bij time-limited en/of scope-limited pentests niet alle kwetsbaarheden vinden, en je komt nergens indien deze door flapdrollen zijn uitgevoerd. Daarbij: vakkundige + ervaren pentesters zijn schaars. Kansloos dit, inclusief de kennelijke verwachting van VWS.

Dat is in 90% van de gevallen tegenwoordig in Nederland. Kleine aanvulling soms zijn het geen flapdrollen maar heeft de opdrachtgever er niet voldoende budget voor over daar informatiebeveiliging geen doel is maar een pentest slechts wordt uitgevoerd om vinkjes te zetten en zichzelf in te dekken. #time4achange Overigens een goede reactie en goed beschreven...
19-07-2021, 11:16 door 2Staff Informatiebeveiliging - Bijgewerkt: 19-07-2021, 11:23
Ik zie veel goede anonieme reacties zoals Een "pentester" draait zijn vulnerability-scanner, loopt de eventuele 'high' en 'medium' meldingen na...

Dat is standaard binnen de overheid puur omdat ze informatiebescherming niet het belangrijkste vinden. Het gaat om de vinkjes (lees pentest) wie het ook doet zodat ze door de audit komen en het vinkje pentest aan kan.

en : Gevalletje "we hebben de security instellingen binnen Firebase/Google Cloud niet goed staan"... dat gaat geen enkele pentest aantonen... ja misschien met een dictionary attack met bekende firebase accounts. Maar ja stond dat in de pentest opdracht ?

Dan is de manager toch in ieder geval gedekt! En dat zijn heel veel managers binnen de overheid. En ze hebben geen kennis van zaken dus lijkt het voor hun oke en ik neem ze ook niets kwalijk.
Ze maken gebruik van de pentesters die hun "CEH" hebben gehaald :-) en deze groep werken vooral binnen de overheid.

Dus advies aan overheid:
Vergeet de certificaten, zorg voor ervde pentest opdracht ?"Huur ervaren "slotenbrekers" in en geen "nessusscanner" en dan is dat vinkje en/of de diploma's helemaal niet relevant en komt de informatiebescherming op orde. Een groot deel van de echte slotenbrekers hebben echter geen HBO diploma....

.
19-07-2021, 11:41 door Anoniem
".. Een groot deel van de echte slotenbrekers hebben echter geen HBO diploma.... "

.
Daar istie weer, het diploma fetisjisme van de BV Nederland en met name bij de overheid.
De beste vakmensen hebben ervaring, niet persé een HBO diploma. Goed personeel heeft creativiteit, leer je dat op de 'klaarstoom om manager te worden HBO' school?
19-07-2021, 12:44 door [Account Verwijderd]
Een DPIA is geen pentest, een pentest kan hooguit als onderbouwing van bepaalde punten in de DPIA dienen.

https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/data-protection-impact-assessment-dpia
20-07-2021, 08:04 door Anoniem
Door Anoniem:
En/of zijn er na de test nog allerlei ongecontroleerde wijzigingen doorgevoerd.
Dat zal het probleem in basis niet zijn. Wel het standaard gepruts: in no-time iets in elkaar flansen waarbij alleen functionaliteit telt. Ohja, iets met beveliging. 5 minuten voordat het live moet. Nou ja, er staat een password op.
Zoiets?

Vertrouwen: in de hele overheid en alles wat er voor werkt... al jaren niet meer. Ze bewijzen steeds vaker dat je er alleen op kunt vertrouwen dat ze het niet voor elkaar hebben. Elke keer weer.

ja sinds we de overheid als een bedrijf zien en managen, krijg je ook dit soort bedrijfsmatigheden....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.