De NL Alert-app van de Nederlandse overheid had nog een tweede beveiligingslek. Daarmee was het mogelijk om de locatie van individuele gebruikers te achterhalen. Het lek is verholpen, maar werd nog niet aan de Tweede Kamer gemeld.

Het lek kwam naar boven via een beveiligingsonderzoeker die dat aan de NOS doorgaf. Met het lek was het mogelijk locatiegegevens van gebruikers te achterhalen. Die locatiedata was nodig om gebruikers in bepaalde gebieden een melding te kunnen sturen. De verzending werd echter niet versleuteld.

Voor het achterhalen van de locatie was het nodig een token te achterhalen dat voor iedere gebruiker uniek was. Het token stond onder andere in de privacyinstellingen van de app. De app verstuurde de locatiedata van gebruikers twee keer. Bij één van die keren gebeurde dat onveilig. Daardoor was het mogelijk de verzending te onderscheppen, en daarbij het unieke token van een gebruiker te vervangen. Het is volgens de onderzoeker die het aan de NOS meldde niet duidelijk waarom de locatiedata twee keer verstuurd werd. Mogelijk ging het om een fout.

Het beveiligingslek zat in de losstaande NL Alert-app. Dat is een aanvullende app bovenop het standaard NL Alert-systeem dat via cell broadcasting werkt. Donderdag waarschuwde het ministerie van Justitie en Veiligheid al de app te verwijderen omdat daar een datalek in zat. Daarbij werden locatie- en andere persoonsgegevens van gebruikers verstuurd naar een derde partij.

Opvallend is dat de onderzoeker het lek aan de overheid heeft gemeld, en dat dat inmiddels ook gerepareerd is. Dat gebeurde al voordat minister Grapperhaus de Tweede Kamer informeerde over het eerste lek. In die brief werd dit nieuwe lek niet genoemd.

Het ministerie van Justitie bevestigt tegen de NOS dat het lek in de app zat. Wel zegt het daarbij dat er geen signalen zijn dat het lek actief is misbruikt.