Categorie: Techniek Nieuws
Lek in RIVM-coronasite: gegevens van gebruikers makkelijk in te zien
De site Infectieradar, waar Nederlanders kunnen doorgeven of ze de afgelopen week coronaklachten hebben gehad, bevatte een ernstig datalek. Iedereen met enige technische vaardigheid kon tot vanmorgen zien wat andere deelnemers antwoordden op persoonlijke en medische vragen.
Dat blijkt uit onderzoek van de NOS in samenwerking met beveiligingsonderzoeker Tom Wolters. “Het was heel eenvoudig om data van andere mensen uit te lezen”, aldus Wolters.
Na melding door de NOS heeft het RIVM de vragenlijsten zaterdagochtend uit de lucht gehaald. “We zijn het probleem nu aan het oplossen. Het gaat om een lek in externe software”, laat een woordvoerder weten. Aanmelden kan nog wel, maar wanneer het invullen van vragenlijsten weer mogelijk is, is niet bekend.
Het lek bestond al sinds de introductie van Infectieradar op 17 maart. “Maar we leegden de nieuw ingevulde formulieren wel elke dag”, zegt de RIVM-woordvoerder. Wie het lek dus pas vandaag ontdekte, kon de formulieren van langer dan een dag geleden niet meer downloaden.
Maar wie er op 17 maart achterkwam, zou sindsdien de tienduizenden aanmeldingen hebben kunnen inzien. Of dat is gebeurd, is niet bekend.
Medische vragen
Zo’n 60.000 Nederlanders doen mee aan Infectieradar, waarmee het RIVM in de gaten wil houden hoe het coronavirus zich verspreidt. RIVM-directeur Jaap van Dissel riep mensen deze week op om zich te blijven aanmelden; het liefst zou hij 100.000 aanmeldingen zien.
Deelnemers geven bij hun aanmelding antwoord op medische vragen, zoals of ze zwanger zijn, waarvoor ze medicijnen gebruiken, of ze roken en of ze allergieën hebben. Ook geven ze eenmaal per week door of ze corona-gerelateerde klachten hebben. Maar het formulier waarmee al die informatie wordt doorgegeven, bleek dus niet beveiligd.
Iedere deelnemer aan de Infectieradar krijgt een uniek nummer van acht cijfers. Bij het invullen van de vragenlijst was dat nummer te zien in de adresbalk. Als je dat nummer veranderde, dan kreeg je het formulier van iemand anders. “Dat probleem komt vaak voor, maar is heel makkelijk te voorkomen”, zegt onderzoeker Wolters.
Hoewel het RIVM deelnemers niet om hun naam vraagt, waren e-mailadres, geboortejaar en de cijfers van de postcode wel zichtbaar. Daarmee is het in veel gevallen mogelijk om de identiteit van deelnemers te herleiden.
Identiteitsfraude
Een aanvaller zou geautomatiseerd de data van alle nieuwe gebruikers kunnen binnenhalen. Uit een test van de NOS bleek dat binnen een paar minuten de antwoorden van 44 Infectieradar-gebruikers konden worden achterhaald.
Ook was het mogelijk om gericht naar de antwoorden van iemand op zoek te gaan: de nummers waren gerangschikt op het e-mailadres van de gebruiker. De antwoorden van Infectieradar-deelnemers zouden bijvoorbeeld kunnen worden gebruikt om ze gepersonaliseerde spam- en phishing-berichten te sturen. Hoe meer een oplichter van zijn slachtoffer weet, hoe geloofwaardiger hij zijn poging tot misleiding kan maken. Ook identiteitsfraude is een risico.
Of er misbruik is gemaakt van het softwarelek is onbekend. De afgelopen twee dagen is het in ieder geval twee keer misbruikt, laat het RIVM weten, maar daarbij gaat het waarschijnlijk om de tests van de NOS en onderzoeker Wolters.
Ongunstig moment
Het nieuws komt voor het ministerie van Volksgezondheid op een ongelukkig moment: later deze maand moet de corona-app van de overheid worden getest. Om de app succesvol in te zetten is het belangrijk dat een grote groep gebruikers de app genoeg vertrouwt om hem te installeren
Vorige maand bleek een andere overheidsapp bovendien ook al een lek te bevatten. Een gat in de NL Alert-app maakte het mogelijk om gebruikers van die app te volgen, bijvoorbeeld voor stalking.
“Dit is dan ook een signaal richting de overheid”, zegt Wolters. “Ze moeten vooraf beter kijken naar mogelijke beveiligingsproblemen.” Minister De Jonge van Volksgezondheid, verantwoordelijk voor het RIVM, wilde zaterdagmiddag niet reageren.
Eerste versie van corona-dashboard openbaar
Het ministerie van Volksgezondheid heeft een eerste versie van het ‘dashboard’ gepubliceerd, waarin verschillende gegevens over verspreiding van het coronavirus bijeen zijn gebracht. Het gaat onder meer om het aantal opnames op de intensive care, positieve testuitslagen en het aantal besmettelijke mensen.
Het kabinet hoopt door actuele gegevens (‘indicatoren’) te combineren een eventuele tweede golf van het virus sneller en preciezer op het spoor te komen en te bestrijden.
Alarmbellen
Het RIVM heeft voor een aantal van die indicatoren ‘signaalwaarden’ ontwikkeld. Die moeten werken als een soort alarmbellen.
Het ministerie van Volksgezondheid benadrukt dat de vraag of moet worden ingegrepen nooit een automatisme is op basis van getallen. “Het zal altijd om een analyse van de cijfers vragen en een bestuurlijke weging. Als meerdere indicatoren boven de signaalwaarde komen, kan dat aanleiding zijn voor het kabinet om advies te vragen aan het Outbreak Management Team.”
De gegevens zijn openbaar, dus de bevolking kan meekijken wat de stand van zaken is. Het nu verschenen dashboard is een proefversie, waarin nog niet alle gegevens zijn opgenomen. Het ministerie hoopt dat het systeem in de tweede helft van juni volledig functioneert.
Zuckerberg verdedigt laten staan bericht Trump tegenover kritische medewerkers
In een vraag- en antwoordsessie met duizenden medewerkers heeft Facebook-topman Mark Zuckerberg het besluit verdedigd om niks te doen tegen een omstreden bericht van president Trump. Hij zei dat het de juiste keuze is om het te laten staan. De sessie met medewerkers was niet openbaar, maar onder meer The New York Times en techsite Recode hebben geluidsfragmenten in handen.
De president plaatste het bericht vorige week vrijdag op zowel Twitter als Facebook. In het bericht suggereert hij dat plunderaars in Minneapolis zullen worden neergeschoten, door de woorden te gebruiken “when the looting starts, the shooting starts”. Hiermee gebruikte Trump dezelfde woorden als politiechef in Miami Walter Headley in 1967. Headley raakte meermaals in opspraak vanwege zijn gedrag tegen de zwarte gemeenschap, zei professor Clarence Lusane van de Howard University vorige week tegen nieuwszender NPR.
Twitter besloot het bericht te verbergen in de tijdlijn, maar niet te verwijderen. Volgens het bedrijf is het in het algemeen belang dat het bericht zichtbaar blijft. Facebook liet het ongemoeid.
‘Medewerkers nemen ontslag’
Dat leidde de afgelopen dagen tot een storm van kritiek. Op vrijdag plaatste de topman een bericht op zijn Facebookpagina waarin hij aangaf een negatief gevoel te hebben gehad bij het bericht en ermee te hebben geworsteld. Dat hielp niet om de angel eruit te halen.
De bijeenkomst met medewerkers was oorspronkelijk voor morgen gepland, maar werd vanwege de onrust twee dagen naar voren gehaald. Meerdere medewerkers hebben volgens The New York Times vanwege Facebooks standpunt ontslag genomen. Ook waren er demonstraties voor het huis van Zuckerberg en het hoofdkantoor.
In de vraag- en antwoordsessie met zijn medewerkers vertelde Zuckerberg dat hij op vrijdag werd gebeld door Trump. “Ik heb dat moment gebruikt om hem te laten weten dat ik zijn bericht opruiend en schadelijk vond.” Naar eigen zeggen heeft Zuckerberg ook de historische context van het bericht geanalyseerd. Die noemde hij “verontrustend”. Desondanks schendt het bericht volgens hem niet de regels van zijn platform.
Open en eerlijke discussie
De topman werd door een medewerker gevraagd of bij de besluitvorming ook zwarte medewerkers betrokken waren geweest. Zuckerberg antwoordde dat alleen Maxine Williams, die zich bezighoudt met diversiteit, om haar mening is gevraagd. Een andere medewerker vroeg hem waarom “de slimste mensen in de wereld zijn gefocust op het verdraaien van ons beleid om te voorkomen dat we Trump tot onze vijand maken”.
Een woordvoerder van Facebook zegt dat een open en eerlijke discussie altijd onderdeel is van Facebooks cultuur en dat de topman “dankbaar” is voor de feedback.
Overtuigen zinloos
De krant sprak met diverse (oud-)medewerkers van het bedrijf die zeiden dat het gesprek met Zuckerberg de interne frictie alleen maar vergrootte en het zinloos was om te proberen de topman op andere gedachten te brengen.
Volgens techsite Recode zei Zuckerberg wel dat het bedrijf overweegt om een label te plaatsen bij berichten van wereldleiders waarin wordt opgeroepen tot geweld, in plaats van niks te doen.
ENGIE is de grootste investeerder in duurzame energie ter wereld.
Als klant van ENGIE ontvangt u 100% groene, herleidbare energie. Afkomstig van de Noordzee of één van onze 100 Nederlandse bronnen. Bijvoorbeeld van windpark Riedpolder, maar ook van een andere ENGIE klant of een bedrijf bij u in de omgeving. U kunt zelf kiezen waar uw energie vandaan komt. Jaarlijks komen daar nieuwe bronnen bij, zoals Flevokust, een zonnepark met meer dan 90.000 zonnepanelen.
Maar ook buiten Nederland bouwt ENGIE aan een duurzame wereld. Dat doen we wereldwijd, in 70 landen. Met het totale vermogen aan opgewekte energie uit zon, wind, water en biomassa voorzien wij al 30 miljoen huishoudens (100 miljoen mensen) met een gemiddeld verbruik een jaar lang van stroom. Daarom staat ENGIE als enige energiemaatschappij in Nederland al jaren op de internationale A-lijst met pioniers op het gebied van klimaatverbetering.
Als klant van ENGIE maakt u dus écht het verschil.
