De website waarop Nederlanders kunnen aangeven of ze coronasymptomen hebben bevatte een lek. Daarmee was het eenvoudig om de medische data van deelnemers op te vragen. Dat kon door simpelweg de url van de Infectieradar te veranderen, meldt een beveiligingsonderzoeker aan de NOS.

Het gaat om Infectieradar, een website van het Rijksinstituut voor Volksgezondheid en Milieu. Op de website kunnen Nederlanders symptomen rapporteren die met het coronavirus te maken hebben. Op die manier kan het RIVM de verspreiding van de ziekte in de gaten houden. Het datalek maakte het mogelijk die symptomen van gebruikers op te vragen.

Deelnemers van Infectieradar krijgen een uniek id toegewezen dat uit acht cijfers bestaat. Wie een vragenlijst op de site invult kreeg dat nummer in de url-balk te zien. Beveiligingsonderzoeker Tom Wolters ontdekte dat dat cijfer in de url simpel kon worden vervangen. Door dat te veranderen kreeg hij het formulier van andere deelnemers te zien.

Dat werkte ook geautomatiseerd. Wolters stapte met zijn bevindingen naar de NOS. Samen lukte het hen om binnen zo'n twee minuten de gegevens van 44 gebruikers te achterhalen. In totaal deed de NOS 128 verzoeken naar de servers achter de site.

Een aanvaller kan geen namen van deelnemers zien, maar wel e-mailadressen, geboortejaren en postcodecijfers. De acht cijfers van het id werden volgens de NOS gerangschikt op e-mailadres. Daardoor zou het ook eenvoudig zijn gericht te zoeken naar gebruikers.

Gebruikers van Infectieradar moeten zich eerst aanmelden met een account. Vervolgens geven ze medische en persoonlijke gegevens over zichzelf door, bijvoorbeeld of ze roken of zwanger zijn, allergieën hebben, en welke medicijnen ze gebruiken. Deelnemers krijgen daarna wekelijks een vragenlijst toegestuurd waarop ze aangeven of ze coronasymptomen hebben.

Infectieradar bestaat sinds 17 maart. Het lek zit al sinds die datum in de site. Wel zegt het RIVM tegen de NOS dat de nieuw ingevulde formulieren dagelijks geleegd worden.

Na melding van de NOS heeft het RIVM het formulierengedeelte offline gehaald. Het is nog wel mogelijk aan te melden met een account, maar niet meer om symptomen in te vullen. Het is overigens niet de eerste keer dat de site in opspraak komt. Een week na de introductie werd de site ook al offline gehaald toen bleek dat het systeem erachter, Influenzanet, oud en onveilig was.

De overheid werkt op dit moment ook aan verschillende manieren om apps en data in te zetten in de strijd tegen het coronavirus. De bekendste daarvan is een contact-tracing-app die op basis van bluetooth werkt. Op die app komt veel kritiek; veel experts zijn bang dat de overheid de app overhaast wil invoeren en dat er daardoor grote privacyrisico's aan de app kleven. Hoewel Infectieradar losstaat van de corona-app is het lek mogelijk erg schadelijk voor het vertrouwen van gebruikers.