Coronatestbedrijf met onbeveiligde database lekt gegevens 60.000 klanten

De gegevens van zo'n 60.000 klanten van het bedrijf Testcoronanu.nl waren in te zien omdat het bedrijf zijn online database niet beveiligd had. Ook was de data daarin aan te passen, om zo een geldig toegangsbewijs voor in de CoronaCheck-app te vervalsen.

Het bedrijf had zijn Google Firestore-database niet op orde. Volgens RTL-journalist Daniël Verlaan had iedereen met een account op de site, dus in ieder geval iedere klant, zowel read- als write-permissies wat betreft die database. Daarin stonden namen, adressen, e-mailadressen, telefoonnummers, paspoortnummers, de afgenomen testsoort, de uitslag en burgerservicenummers. Die laatste werden wel enkele dagen na de test verwijderd. Het ministerie van VWS stelt dat er 'geen signalen' zijn dat naast RTL nog een andere derde in de database is geweest.

Niet alleen konden resultaten van bestaande klanten aangepast worden, nieuwe data kon ook toegevoegd worden, waardoor een testbewijs voor een persoon die helemaal geen klant is geweest, aangemaakt kon worden.

Testcoronanu.nl heeft volgens RTL tien locaties in Nederland en drie in België. Die fysieke locaties zijn gesloten wegens 'onvoorziene omstandigheden', valt er nu te lezen op de website. Ook de online functies van het bedrijf zijn niet beschikbaar.

Het bedrijf is aan de slag gegaan met zijn klanten op de hoogte stellen van de situatie, maar heeft daarin opnieuw een fout gemaakt. Verlaan meldt dat in de e-mail waarin klanten op de hoogte gesteld worden van de situatie, iedere geadresseerde in het cc-veld is beland in plaats van het bcc-veld. Daarvoor alleen al heeft de Autoriteit Persoonsgegevens al eerder boetes uitgedeeld.

Het bedrijf is onderdeel van het overheidsinitiatief Testenvoorjereis.nl. Dat betekent dat de overheid het gebruik van het bedrijf niet alleen aanraadt, maar de tests ook subsidieert. Het ministerie van Volksgezondheid, Welzijn en Sport laat tegenover RTL weten dat het gaat onderzoeken hoe het Testcoronanu.nl heeft geaccepteerd als betrouwbare partner, terwijl de security zo te wensen overlaat. Volgens RTL-journalist Daniël Verlaan moeten partners 'aan de hoogste dataveiligheids- en privacy-eisen voldoen', zo citeert hij uit niet nader genoemde bron, die waarschijnlijk een overheidswebpagina is.

Ook de Autoriteit Persoonsgegevens wil opheldering: "Mensen moeten er vanuit kunnen gaan dat de overheid dit goed en veilig regelt," vertelt een woordvoerder.

Reacties (189)

189

171

Wijzig sortering

wildhagen

Nederland
Politiek en recht
Datalek
Networking en security

18 juli 2021 13:42

Nou, het gaat nog iets verder dan alleen een "normaal" datalekje hoor.

Door het lek kon iedereen in de coronadatabase van het testbedrijf neuzen en daar kinderlijk eenvoudig, door twee regels code in je browser in te voeren, je eigen negatieve test toevoegen. Je vult zelf de juiste gegevens in en krijgt vervolgens automatisch een geldig CoronaCheck-bewijs op de door jou ingevulde naam - zonder dat je bent gevaccineerd, daadwerkelijk bent getest of hersteld bent van corona.

[...]

In de database van het testbedrijf kon je zelf invullen wat voor test je wilde, bijvoorbeeld antigeen of pcr, wanneer deze is afgenomen en wat het resultaat is. Daarna kon je een Nederlands of Europees coronabewijs maken die beide worden geaccepteerd voor evenementen en reizen. Ook krijg je automatisch een reiscertificaat van Testcoronanu met daarop de handtekening van een dokter dat je negatief bent getest.

De gegevens die bij het bewijs worden gecontroleerd, zoals je volledige naam en geboortedatum, kon je naar eigen wens invoeren, bijvoorbeeld voor jezelf of een ander. Het was ook mogelijk om de gegevens van anderen aan te passen, zoals hun negatieve test te veranderen naar een positieve. Of door de testdatum aan te passen waardoor een coronatest niet meer geldig is.

https://www.rtlnieuws.nl/...jzen-datalek-testcoronanu

Men kon dus simpelweg testresultaten opgeven zonder getest te zijn, en men kon andermans testresultaten ook aanpassen.

Ik vind dit wel heel kwalijk, en hoop toch wel dat dit een juridisch staartje gaat krijgen, want als je dit soort dingen doet (van die mogelijkheid gebruik maken) ben je toch wel heel verwerpelijk bezig, en ben je de boel doelbewust aan het belazeren, en daarmee de volksgezondheid in gevaar aan het brengen en het meewerken aan verspreiden van corona.

[Reactie gewijzigd door wildhagen op 23 juli 2024 11:26]

P_Tingen @wildhagen • 18 juli 2021 13:47

Dit. En dan heb je nog niet eens genoemd dat het bij de damage-control nóg een keer fout ging omdat alle geadresseerden in het CC veld stonden in plaats van BCC veld of afzonderlijke mails.

wildhagen

Nederland
Politiek en recht
Datalek
Networking en security

@P_Tingen • 18 juli 2021 13:51

Klopt, wordt ook in de reviews van dit bedrijf genoemd, zie https://nl.trustpilot.com/review/testcoronanu.nl

Mijn test voor vanmiddag werd vanochtend geannuleerd zonder reden. In de e-mail zijn meer dan 1000 e-mailadressen zichtbaar, dus ook een giga datalek. Onbegrijpelijk dat de overheid met deze partij in zee gaat.

Ik krijg de indruk dat dit bedrijf niet heel erg professioneel te werk gaat, zowel met hun IT-omgeving (database niet goed geconfigureerd), als met hun communicatie (1000+ emailadressen in de CC zetten ipv in BCC).

Hoe die ooit op het CoronaCheck-netwerk zijn aangesloten vraag ik me af, want je moet toch aan best wel wat eisen voldoen voor je daar op komt.

Die eisen kan je hier nalezen overigens (PDF-vorm): https://www.rijksoverheid...nacheck-versie-210621.pdf

Nicael @wildhagen • 18 juli 2021 13:55

Is allemaal leuk en aardig zulke eisen, maar welke persoon valideert dat een bedrijf er aan voldoet? Word het als het niet gecheckt niet word wel echt nageleefd?

Met de belachelijke snelheid/druk die er aan werd gegeven vanwege de zomervakantie lijkt me dat de verificatie er van waarschijnlijk zal zijn overgeslagen/te gehaast uitgevoerd.

wildhagen

Nederland
Politiek en recht
Datalek
Networking en security

@Nicael • 18 juli 2021 14:15

Is allemaal leuk en aardig zulke eisen, maar welke persoon valideert dat een bedrijf er aan voldoet? Word het als het niet gecheckt niet word wel echt nageleefd?

Normaliter wordt zoiets geaudit door een onafhankelijke auditor (denk aan bedrijven als EY, KPMG, PwC etc). Ik weet verder niet of dat hier ook is ingeregeld, maar gezien de enorme snelheid waarmee dit hele systeem op poten is gezet heb ik daar (op persoonlijke titel) ernstig mijn twijfels bij.

Ik zit zelf in de IT, en heb vaker audits meegemaakt. Er komen vaak bevindingen uit, als je die hebt opgelost wordt je opnieuw ge-audit, en pas als alles in orde is krijg je als het goed is het fiat van de auditor dat alles in orde is.

michelb76 @wildhagen • 18 juli 2021 14:22

Ik reken er maar op dat geen van de corona-test bedrijfjes een dure audit betaald hebben.

kokx @michelb76 • 19 juli 2021 11:02

Ze moesten dit volgens de eisen van het ministerie aanleveren, en hebben dit ook gedaan:

https://www.rijksoverheid...-incident-testcoronanu-bv

Hopelijk gaan we dit rapport ook kunnen inzien.

michelb76 @kokx • 19 juli 2021 13:59

Ook heel benieuwd! Er zat een pentest in de eisen, maar geen idee of die ook de applicatie test of alleen de infra.

kokx @michelb76 • 19 juli 2021 15:04

Testaanbieder voert pentest uit op alle systemen die een rol spelen in de keten voor CoronaCheck. Doel hiervan is het voorkomen van datalekken en serieuze kwetsbaarheden.

Er zijn standaarden om te bepalen wat er getest moet worden. In deze standaarden staan de benodigde tests/verificaties beschreven. Deze worden allen uitgevoerd. Waar dat niet mogelijk is, wordt dat uitgebreid gemotiveerd.

Voor de volgende onderdelen zijn er standaarden beschikbaar:
Infrastructuur: Penetration Testing Execution Standard (PTES): standaard ten behoeve van het pentesten van de infrastructuur.
Voor een webapplicatie zijn er twee standaarden:
OWASP Top 10: de 10 meest kritische kwetsbaarheden van webapplicaties
OWASP WSTG: standaard ten behoeve van het pentesten van webapplicaties
Voor een API: OWASP API Security Top 10: de 10 meest kritische kwetsbaarheden van API’s.
Voor mobiele applicaties (apps): OWASP MSTG: standaard ten behoeve van mobiele applicatie pentesten.

Bron: https://www.rijksoverheid...nacheck-versie-210621.pdf

Dit lijkt te duiden dat iniedergeval de infra en webapplicatie getest had moeten zijn. Hopelijk is dit ook door een degelijke derde partij gebeurd, al zou ik mijn naam er niet graag aan verbinden als pentester met zo'n resultaat.

Verwijderd @wildhagen • 18 juli 2021 14:48

Een owasp test had dit ook naar boven laten komen.

latka @Verwijderd • 18 juli 2021 15:02

Probeer maar eens een pentest te plannen voor volgende week: alle gerenomeerde testers zitten vol. Een audit lukt zeker ook niet in een kort tijdsbestek omdat de meeste auditors eerst willen weten wat ze moeten auditen tegen welk toetsingskader voordat ze de opdracht aannemen. Dan ben je ook zo een paar weken (en absurde hoeveelheiden geld) kwijt. Ik denk dat hier het "blauwe ogen" audit principe is toegepast.

Verwijderd @latka • 18 juli 2021 17:42

Dat is geen excuus. Niet getest is niet live gaan. En in dit geval, de url aanpassen met andere gegevens en dan succesvol data kunnen veranderen is gewoon prutswerk. Daar heb je 30 seconden testen voor nodig om daar achter te komen.

latka @Verwijderd • 18 juli 2021 20:38

Correct. Dat had de overheid ook kunnen weten dus nu roepen: de papieren waren in orde dus we hadden geen reden om aan te nemen dat het niet goed was is ook gewoon een blabla verhaal om zich in te dekken.

Tintel

Politiek en recht

@latka • 19 juli 2021 12:11

Iets wat de overheid wel vaker doet en op die manier heeft nu een bedrijf met behulp van subsidie weer flink wat geld binnen geharkt en vervolgens roepen wat mensen (en dan bedoel ik niet zozeer de mensen op dit forum); foei! Maar het doet die 'ondernemer' helemaal niets.
Dit is witteboorden criminaliteit te noemen omdat deze werkwijze zo vaak voorkomt. Private bedrijf wordt met overheidsgeld gevoed en voldoet aan 'zware' eisen. Maar dan blijkt dat het bedrijf helemaal niet voldoet aan die eisen. Maar de 'overheid' (lees: een paar ambtenaren) wist van niets...

reinouts @Tintel • 19 juli 2021 14:21

Niet al het geld afkomstig van de overheid is 'subsidie'. In dit geval is er gewoonweg een commerciële dienst afgenomen. Subsidie is wanneer de overheid het in het algemeen belang vindt om een bepaalde organisatie onder voorwaarden financieel te steunen om bepaalde doelen te bereiken, die ze zonder dat geldt niet had kunnen bereiken.

Sandor_Clegane @wildhagen • 18 juli 2021 13:56

Hoe denk je dat dit gekomen is? Oh? Gat in de markt..... hopsa.

Oh ja, er moet ook nog wat programmatuur komen. Wie is goedkoop?

Zie het hele coronabeleid; allemaal mensen die geld ruiken.

Puffino @Sandor_Clegane • 18 juli 2021 19:38

Het rare is dat, wil je als bedrijf zoiets voor de overheid maken, je een aanbesteding moet winnen, waarin op elke slak zout gelegd wordt.

Je moet aan allerlei eisen voldoen.

Dus hoe komt zo'n knoeiboel dan tòch door een aanbesteding heen?

Kijk ik heb daar wel een idee bij, maar wil niemand van leugen en bedrog betichten voor ik weet dat dat terecht is.

wica @Puffino • 18 juli 2021 20:30

Er was geen aanbesteding. Omdat het crisis is, denk o.a. Hugo dat een aanbesteding niet nodig was.

Iets waar verschillende experts voor gewaarschuwd hadden en gelijk hebben gekregen.

Er zijn miljarden weg gegooid, spoorloos omdat ze de regels niet gevolgd hebben.

Maar de vriendje van o.a. Hugo hebben er goed aan verdient. En eentje is onder de bus gegooid met wat die verdient geeft aan mondkapjes.

Jeroen73 @wica • 18 juli 2021 22:14

Nu is Hugo niet van mijn favo partij, maar zo makkelijk als jij het nu op de man speelt, bah. Alsof hij hoogstpersoonlijk de coronacrisis in gang gezet heeft.

Gladiator5 @Jeroen73 • 19 juli 2021 17:50

Nee jij moet als burger even 5 miljard niet kunnen aantonen, enig idee hoe jou positie dan is?

Meneer lult er gewoon overheen, en alles is weer klaar. Dikke middelvinger naar deze man, heb geen enkel goed woord over voor hem.

mjtdevries @Gladiator5 • 19 juli 2021 19:33

En jij denkt daadwerkelijk dat hij als minister daar echte invloed op had?
Hoe naief kun je zijn?

Gladiator5 @mjtdevries • 19 juli 2021 22:45

Tja zo kan ik het ook;

Taken minister De Jonge

De minister van Volksgezondheid, Welzijn en Sport is verantwoordelijk voor:

Algemene infectieziektebestrijding covid-19 ***
Ouderenzorg ***
Wmo en mantelzorg ***
Wijkverpleegkundige zorg ***
Persoonsgebonden Budget ***
Medisch-ethische vraagstukken ***
Inkoop en aanbesteden in het sociaal domein ***

Meneer moet kunnen verklaren waar het heen is gegaan toch? "Ik heb er geen bonnetjes van" , Dus is het maar klaar??
Hoe naïef kan je zijn?

Jeroen73 @Gladiator5 • 20 juli 2021 08:09

Een minister wordt geacht in het landsbelang te handelen en in deze situatie is er gekozen om de corona crisis zsm aan te pakken en daarvoor de aanbestedingsprocedures te laten varen omdat daarmee een vertraging van maanden zou worden opgelopen. Een dergelijke vertraging had talloze extra doden tot gevolg gehad en chocolade letters in de media over "die bureaucratische pennenlikkers uit den haag die het volk liever dood laat gaan dan een paar euro uit te geven". Handelingssnelheid in plaats van een sluitend bonnenboekje: kan ik wel mee leven.

mjtdevries @Gladiator5 • 20 juli 2021 10:12

Meneer moet kunnen verklaren waar het heen is gegaan toch? "Ik heb er geen bonnetjes van" , Dus is het maar klaar??

Gebruik nou eens je gezond verstand.

Daar heeft de minister op geen enkele manier rechtstreeks mee te maken. Dat zijn gewoon de boekhoud regels waar de ambtenaren zich aan moeten houden. Daar zou een minister zich niet druk over hoeven te maken.
ZEKER NIET als je in de pandemie zit waarbij zijn agenda al overvol zit met dingen waar hij zich wel rechtstreeks mee moet bemoeien..

Als het gaat over waarom Nederland niet klaar was om prikken te gaan zetten toen de vaccins beschikbaar kwamen, maar achteraan liep in Europa. DAAR is het terecht om de minister persoonlijk op aan te spreken, want daar was de minister persoonlijk bij betrokken of mag je van verwachten dat in een pandemie een minister persoonlijk bij betrokken is.

En voor iemand begint over "politieke verantwoordelijk". Daar heb ik een grondige hekel aan. Wat mij betreft zet je iemand alleen af al hij zelf grote steken heeft laten vallen.
Als er grove nalatigheid is bij de ambtenaren dan moet wat mij betreft de minister blijven zitten en die grove nalatigheid aanpakken zodat het niet opnieuw gebeurd.
Door de minister af te zetten zorg je er alleen maar voor dat er niks aangepakt word en die grove nalatigheid opnieuw gebeurd. (kijk maar naar de belastingdienst)

[Reactie gewijzigd door mjtdevries op 23 juli 2024 11:26]

Tintel

Politiek en recht

@Puffino • 19 juli 2021 12:13

Vermoedelijk was er geen aanbesteding en die zijn vaak ook een farce.

gaskabouter @Sandor_Clegane • 18 juli 2021 18:08

Tsja dat is helaas de crux... Iets met de gelegenheid maakt de dief....

Niet gehinderd door enige vorm van kennis beginnen ze geld te verdienen aan corona. Mondkapjes, testen desinfectie middelen etc... Gewoon erop hopend dat door de crisis de normale controle mechanismes niet afdoende zijn.

Ik zit me te verbazen hoeveel telefoonhoesjes en screenprotectors ineens "anti-bacterieel" zijn. Terwijl het natuurlijk een virus is en het glad van je telefoon ongeveer net zo ranzig is na gebruik als welke protector je er ook opplakt. Maar ze komen er gewoon mee weg en verdienen weer een centje aan de crisis....

BenVenNL @wildhagen • 18 juli 2021 14:07

Ik ga hier niet 'shamen'. Maar ik had zelf ook een afspraak staan bij zo'n soort bedrijf. Gemaakt via de overheid site.

Vervolgens krijg je een of andere bevestiging welke niet professioneel oogt. Kijk je op hun website is de lay-out van de website prut, lay-out functioneerde half. Staat er een excuus op de frontsite (met witte letters op witte achtergrond .. ) dat hun gegevens niet goed naar de QR app worden overgezet en dat er een hotfix wordt gemaakt.

Lees vervolgens op review sites dat mensen pas na 60 uur (!) hun uitslag hadden.

Nog een die de boel totaal niet op orde heeft.

Afspraak weer geannuleerd. Ik hou het lekker bij de GGD ... dan maar ff stukje rijden voor een test.

[Reactie gewijzigd door BenVenNL op 23 juli 2024 11:26]

Cid Highwind @BenVenNL • 18 juli 2021 23:29

Zolang het gewoon feiten en ervaringen zijn kan je gerust man en paard noemen, al is het maar om anderen te beschermen met diezelfde lutsers in zee te gaan. Als het ze niet bevalt hadden ze of een ander vak moeten kiezen, of een fatsoenlijke dienstverlening op moeten zetten.

sianto @BenVenNL • 18 juli 2021 16:13

Ik kreeg 2 uur voordat ik naar de teststraat toeging een mail dat ik negatief getest was, toen ik dit meldde kreeg ik te horen dat het systeem overbelast was en daardoor verkeerde resultaten doorstuurde.

Ook ik laat mij alleen nog maar bij de ggd testen.

Sandor_Clegane @sianto • 18 juli 2021 16:58

Ze gebruiken quantum computers denk ik.

jorisvergeerTBA @GoT.Typhoon • 19 juli 2021 01:02

In ieder geval krijgt je pas de uitslag na de test. Die doen in ieder geval hun werk.

alienfruit @wildhagen • 18 juli 2021 18:13

Dat de overheid nite even verplichte pen test afdwingt voordat ze in zee gaan met zo’n bedrijf.

Op mijn werk moet elke integrator een pen test laten zien voordat ze in onze store mogen anders komen ze niet door due diligence check

enver63

@wildhagen • 18 juli 2021 19:39

Ik krijg de indruk dat dit bedrijf niet heel erg professioneel te werk gaat, zowel met hun IT-omgeving [...] als met hun communicatie [...]

Voeg daar ook maar de test zelf aan toe.

Ik heb me door testcoronanu.nl laten testen, omdat ik voor 1 juli op reis moest, en dat soort tests toen nog niet door de GGD werden gedaan. Met 'korting' kostte dat 75 euro. De 'test' vond plaats in een rommelig donker zaaltje. Het wattenstaafje heeft mijn neus nog net geraakt, maar zelfs met de zelftest kom ik een stuk verder. Het maakte op mij een buitengewoon onprofessionele indruk, inderdaad alsof iemand snel even veel geld wil verdienen, een paar wattenstaafjes bij de drogist heeft gekocht, en zijn neefje een 'certificaat' heeft laten maken in Microsoft Word.
Ik was al twee keer gevaccineerd, en was blij dat ik op reis kon, anders had ik waarschijnlijk gekeken of er een soort keuringsdienst voor dit soort bedrijfjes is.

Grrrrrene

@wildhagen • 19 juli 2021 07:51

De Corona-pandemie heeft heel veel cowboys naar voren gebracht die ineens van alles aanboden waar de overheid veel te makkelijk op inging. Grof geld verdienen aan mondkapjes, in je schuur een beademingsapparaat ontwikkelen, dit soort ICT fiasco's... Dit moet maar eens goed geannaliseerd worden en dit soort bedrijven heihard aangepakt. Maar ook de mensen die hier misbruik van maken.

Ik snap sowieso niet helemaal waarom er bij toegang met de Coronacheckapp niet gekeken wordt of een QR-code al eerder is gebruikt voor toegang. Ik mag toch hopen dat iedereen een unieke code krijgt? Ik weet dat er een deel van je naam en een deel van je geboortedatum o.i.d. in verwerkt zit, maar daar is toch wel iets unieks aan toegevoegd?

FvdM @wildhagen • 18 juli 2021 15:00

Ook krijg je automatisch een reiscertificaat van Testcoronanu met daarop de handtekening van een dokter dat je negatief bent getest.

Dit vind ik nog het ergste. Die handtekening en de validatie door de overheid zijn deel van de chain of trust. Het zegt dat de inhoud door een geautoriseerde dokter handmatig is gecontroleerd en bevestigd en officieel erkend is. Tuurlijk snap ik dat even in korte tijd 60.000 invoeren checken geen doen is, maar ook onder druk mag dat niet (geautomatiseerd?) onvoorwaardelijk worden gesigneerd. Zeker in een situatie zoals nu met corona, met nog steeds risico op dodelijke slachtoffers.

Als die dokter niet ook is vervalst en wel is beëdigd lijkt het me dat het hele principe 'ondertekening door een dokter' onder druk komt te staan.

wica @FvdM • 18 juli 2021 15:35

Kan nog een zeer naar staartje krijgen voor de betreffende dokters.
Hun handtekening staat onder iets, wat ze niet gezien hebben. Zou bijna valsheid in geschrifte zijn.

tvtech

@wica • 18 juli 2021 16:33

Waarschijnlijk was dit bedrijf of de eigenaar vorige week nog een autosloperij oid. Allemaal gelukszoekers die geld ruiken. Waarom niet gewoon een compleet ingerichte teststraat (GGD) gebruiken en die een officieel certificaat laten printen, ik snap het niet meer. Alles staat er al. Maar nee, voor op reis of andere toegang moet er een zooitje prutsers ingehuurd worden die deze belangrijke tests gaan uitvoeren. Die gewoon ongecontroleerd hun gang kunnen gaan en daarmee Nederland op rood zetten. Maar ja, als de leiding van ons land van hetzelfde kaliber is, wat kun je dan verwachten?

Avalaxy @tvtech • 18 juli 2021 21:04

Waarschijnlijk was dit bedrijf of de eigenaar vorige week nog een autosloperij oid.

Bijna goed. Een hele reeks aan vage bedrijven. Cosmetica, "internationale handel in levensmiddelen", een administratiekantoor, supermarkten, slachthuis, bakkerij en partycentrum. In ieder geval helemaal niets waaruit enige vorm van expertise blijkt.

Hier een interview met hem van de treitervlogger ismail ilgun: https://www.youtube.com/watch?v=KaivaLGVSmw

niels567 @Avalaxy • 18 juli 2021 23:20

Weet je zeker dat het deze persoon is? Als ik in de kvk kijk (en verder graaf via https://company.info/) kijk, kom ik een andere naam tegen.

Maar vooral een wirwar van BV’s, kleine bedrijfjes in de medische sector. Allemaal mensen van eind 20, en iemand met een geneeskunde master en een PhD positie in een ziekenhuis.

Geen autohandelaar, maar wellicht nog steeds niet de juiste set competenties.

(Ik noem bewust geen namen, want ik weet niet zeker of ik het wel goed heb, en wil andere niet onnodig schade aan doen).

Avalaxy @niels567 • 19 juli 2021 01:24

Ik heb m'n info van linkedin, de persoon naar wie ik link claimt co-owner van Testcoronanu.nl te zijn. Verder zie ik niemand anders die voor het bedrijf lijkt te werken (alleen wat studenten die tests afnemen, geen IT'ers, andere oprichters of medici).

tvtech

@Avalaxy • 19 juli 2021 15:20

Dat is toch gewoon schokkend?

Cid Highwind @tvtech • 18 juli 2021 23:32

Het vervelendste is dat het dus ook het vertrouwen in de Nederlandse certificaten ondermijnd. Nog een paar van zulke "incidenten" en je moet je afvragen wat in Nederland afgegeven certificaten nog waard zijn.

wica @tvtech • 18 juli 2021 16:44

Daarom is het ook zo belangrijk dat het aanbesteed wordt.
Daarin staan o.a. waarborgen in hoe lang een bedrijf al bestaat, dat ze idd een goede omzet hebben ook etc....
Niet dat het ook automatisch een garantie is dat het goed gaat. Maar je houd er veel mee buiten en misschien nog wel belangrijker. Je voorkomt dat er zomaar vriendjes in gezet kunnen worden.

tvtech

@wica • 18 juli 2021 17:11

Aanbesteed wil nog niet zeggen dat het dan goed gaat. Je kunt je vriendjes net zo goed voortrekken.

wica @tvtech • 18 juli 2021 17:18

Ja het kan, maar dan is het in het openbaar en kunnen andere partijen nog via de rechter het aanvechten.

Ja ik ben bekent met aanbestedingen die specifiek op een bedrijf geschreven zijn. Maar ook bekent met rechtzaken die hier een stokje voor steken.

Maar zoals gezegd, het is geen garantie. Maar wel beter dan zoals het nu is gaan.

mannowlahn @tvtech • 19 juli 2021 09:23

Ha voor de grap eens op linkedin en instagram zoeken naar de CEO van dit bedrijf en alles valt op zijn plek. Foto's met dure auto's, m16 schieten, het is verdomme zelfde categorie wat je zou verwachten van al die gasten zoals lil kleine etc. De overheid kennende kunnen ze waarschijnlijk niks, maar mag hopen dat deze vogel nog snel geplukt wordt. Tegen die tijd zal de ceo (tevens eigenaar van een supermarkt en slagerij in Amsterdam, je verzint het. niet) wel ergens ronde middenlandse zee vertoeven.

i-chat @wica • 19 juli 2021 10:24

Niet bijna; ze zijn gewoon aansprakelijk en overtreding van goede zorg kan je gewoon je BIGregistratie kosten dan ben je dus gewoon geen arts: (dokter is wat anders) meer

Trinitronic @FvdM • 19 juli 2021 07:15

Zeker in een situatie zoals nu met corona, met nog steeds risico op dodelijke slachtoffers.

Dat risico wordt flink opgeblazen in het nieuws en de politiek.
Volgens het RIVM tellen we 17,7k doden sinds feb. 2020.
Op 17,7 miljoen inwoners maakt dat = 0,1%, ofwel 0,07% voor een heel jaar.
Een griepvirus veroorzaak jaarlijks gemiddeld 0,15% dodelijke slachtoffers.

Cavemen @Trinitronic • 19 juli 2021 09:58

Ik wordt zo moe van dit soort reacties.

Het aantal doden ligt waarschijnlijk hoger (oversterfte), maar zelfs als het “maar” 17k doden zijn hou er dan rekening mee dat dit na al die maatregelen is. Hoeveel hadden het er geweest zonder maatregelen? Als de ziekenhuizen echt vol lagen? Hoe zit het met al die long covid gevallen?

Ik ben ook voor meer risicos nemen nu men steeds verder is met vaccineren, maar hou eens op met doen alsof dit niets is.

FvdM @Trinitronic • 19 juli 2021 09:07

Oh dan is het niet erg. /s

Elke dode is er toch één teveel?

Firestorm @FvdM • 19 juli 2021 15:12

Wat mij betreft is alles wat we als mens doen een afgewogen risico. Met dezelfde argumentatie kan je namelijk ook vliegreizen of auto's verbieden: als het mis gaat kunnen er doden vallen. Het belang van sommige zaken weegt nou eenmaal zwaarder dan de nadelen van 'het kwaad' en mag daar wat mij betreft een afweging in gemaakt worden. Maatregelen om ziekenhuizen te ontlasten zijn dikke prima en ik ben ook een voorstander van een verplicht vaccinatieprogramma, maar het hele land op slot houden vanwege een (ernstige) ziekte zonder dat bijvoorbeeld de ziekenhuiszorg opgeschaald wordt is geen houdbare maatregel wat mij betreft. Het is een lapmiddel om tijdelijk de ergste gevolgen in te dammen, geen oplossing van het probleem.

Auteur

Mark_88 @wildhagen • 18 juli 2021 13:55

Nou, het gaat nog iets verder dan alleen een "normaal" datalekje hoor.

Serieuze vraag, maar lees je dan alleen de headline? Want het is inderdaad niet zomaar een datalek; daarom staan er nog zeven alinea's onder.

wildhagen

Nederland
Politiek en recht
Datalek
Networking en security

@Mark_88 • 18 juli 2021 13:59

Nee, ik lees niet alleen de headline, maar het staat er imho een beetje verbloemd in, en niet heel erg helder dat je bijvoorbeeld ook andermans resultaten kon aanpassen, en ook niet aan welke eisen er voldaan moest worden om aangesloten te kunnen worden op het CoronaCheck-netwerk (deze PDF dus).

Het leek me toch wel handig om dat iets explicieter te vermelden, gezien de potentiele impact. Immers, hiermee kunnen andere mensen in contact komen met een met corona besmette persoon die toch een negatieve test-uitslag had (ik zeg dus dat het KAN, niet dat gebeurd is). Tevens maakt dit dat de personen die zoiets doen dus wel actief meewerken aan het verspreiden van corona.

Daarom hoop ik ook dat er juridische gevolgen voor dit bedrijf aan zitten, evenals voor mensen die hier gebruik van gemaakt hebben. Een 'normaal' datalek is al ernstig genoeg, maar gezien hier de volksgezondheid mee gemoeid is, gaat dit nog wel een paar flinke stappen verder dan dat.

[Reactie gewijzigd door wildhagen op 23 juli 2024 11:26]

kodak

Networking en security
Datalek
Nederland

@Mark_88 • 18 juli 2021 14:27

Dit is als een headline maken dat een kelder vol water staat terwijl het grootste probleem de oorzaak van de wateroverlast is.

Daarbij staat in het artikel iets over het mogelijk aanpassen, maar gaat nauwelijks in op dat probleem, oorzaak of gevolgen. Het is niet niks als dit testen voor de veiligheid van vele anderen in binnen- en buitenland moet zorgen maar dus onbetrouwbaar blijkt. Tenzij we eigenlijk niet zo om de betrouwbaarheid geven, maar het is juist een van de belangrijkste middelen om geen strengere maatregelen te nemen.

m00d @Mark_88 • 18 juli 2021 16:18

Jeetje- of je schrijft je artikel gewoon beter. Vreemde aanval naar de commenter vermomd als vraag, naar mijn mening.

Vooral aangezien commenter bronnen erbij haalt en quotes en dus laat zien dat hij niet alleen dit artikel heeft gelezen, maar nog andere. Beetje laag niveau dit

PolarBear @wildhagen • 18 juli 2021 14:12

Sowieso spreken van een lek vind ik raar. Dit is het equivalent van een sluis in een dijk tijdens hoog water open laten staan. Geen kwelwater wat onder een op zich goed ontworpen dijk doorkomt. Door te spreken van een lek lijkt het iets wat het bedrijf overkomen is, maar dit is echt gewoonweg nalatig.

Gwaihir @PolarBear • 18 juli 2021 15:08

Ja, sensatiezoekende koppen krijgen er hier nog al eens van langs, maar deze is omgekeerd: veel te ingetogen. Zoiets misschien:

Coronatestbedrijf verspreidt gegevens 60.000 klanten en Coronabewijzen naar wens

Hoop dat o.a. de AP hier wel even snel tijd voor vindt en met een boete komt die faillissement garandeert. Hier is duidelijk iemand op (veel te) snel geld uit, zonder enige aandacht voor waar hij/zij mee bezig is.

tvtech

@Gwaihir • 18 juli 2021 16:36

En dan draait de staat weer op voor het faillissement en zit de eigenaar in zijn luie stoel te genieten van zijn vooraf overgemaakte subsidie….

Gwaihir @tvtech • 18 juli 2021 17:33

Tot op zekere hoogte. Bij uitgesproken wanbeheer* is de eigenaar persoonlijk aansprakelijk. O.a. 'nog even' veel geld uit het bedrijf halen nu, nu de stront al aan de knikker is, zal daar zeker onder vallen.

(* Zal niet de officiële juridische term zijn.)

[Reactie gewijzigd door Gwaihir op 23 juli 2024 11:26]

R4gnax

Datalek
Networking en security

@Gwaihir • 18 juli 2021 18:22

Ja, sensatiezoekende koppen krijgen er hier nog al eens van langs, maar deze is omgekeerd: veel te ingetogen.

Eens dit is reverse click-bait.
Een passende kop hier was geweest: "Onkunde bij coronatestbedrijf: testgegevens vrij opvraagbaar en bewerkbaar, mogelijk leidend tot gesjoemel met testcertificaten"

Vooral dat laatste mag wel met naam en toenaam genoemd worden. Dit is wel zo'n gigantische flater, dat dit bedrijf wat mij betreft mag branden. Het kan de betrouwbaarheid van alle Nederlandse test-certificeringen aantasten en een gigantische deuk slaan in de mogelijkheid van Nederlanders naar andere lidstaten af te reizen. Daarmee kan het ook directe gevolgen hebben voor de toch nog precaire situatie van de reissector.

ironx @wildhagen • 18 juli 2021 16:09

Maar in welke mode draaide die Firebase database dan?

"Production Mode": All third party reads and writes will be denied.
"Development Mode": The default security rules for test mode allow anyone with your database reference to view, edit and delete all data in your database for the next 30 days.

Je gaat me toch niet vertellen dat...

Viper1995 @ironx • 18 juli 2021 19:51

Voorheen als je een project aanmaakte binnen Firebase was dit er geen eens, dan was er alleen maar een default. Dit stond dan op Lezen voor iedereen en schrijven verboden, veel gingen daar gewoon mee aan de slag en zetten schrijven ook op true. Ik deed dat nooit, altijd gelijk vanaf het begin af aan goed de rules opbouwen en ook meenemen in het CI/CD proces zodat het automatisch overal goed gezet werd dus geen gehannes met handmatig overzetten.

Ik ben er bang voor dat precies hier ook gebeurd is helaas, ik heb een keer een audit gedaan op een systeem waar een stagiair die was ingehuurd door iemand om zijn idee te bouwen (geen IT kennis) dit precies zo gedaan had, los dat Firebase voor dat project compleet de verkeerde keuze was heeft die jongen het juist genomen omdat het zo makkelijk leek en ik denk dat hier ook juist het probleem is geweest.

crazyx @ironx • 18 juli 2021 22:07

Het is gewoon al raar dat je er van buitenaf achter komt dat er een firebase database gebruikt wordt. Normaal zitten daar best nog wel wat lagen tussen.

Yordi- @wildhagen • 18 juli 2021 13:59

Van de mogelijkheid gebruik maken strafbaar? De mogelijkheid bieden zou strafbaar moeten zijn. En ik neem aan dat het recht daar ook wel in voorziet. Dat gepruts in de ict moet echt eens stoppen, we hebben het hier niet over een systeem de wereld in slingeren en slachtoffer worden van een net-uitgebrachte 0-day, dit is gewoon verwijtbaar handelen.

Faxinator @Yordi- • 18 juli 2021 14:06

We gaan er ook altijd vrij makkelijk vanuit dat iets maar veilig is. Terwijl dit nog bij geen enkel project het geval is geweest en je dit absoluut niet mag benoemen als reden om zo'n app vooraf niet te gebruiken.

Ezels en stenen..

B_FORCE @wildhagen • 18 juli 2021 14:44

Voor het ontwikkelen van electronica en ook bepaalde mechanische constructies, zijn allerlei testen en keuringen verplicht ivm veiligheid voordat een product of constructie in gebruik kan worden genomen.
In bepaalde markten of bouw zijn deze zelfs verplicht.

Men zou dit ook moeten doen voor websites.

Havelock @wildhagen • 18 juli 2021 16:13

Nu zitten we met de gebakken peren!
Nu is er bijna elke dag 10.000 besmettingen er bij door dit soort fouten!

Niet alle besmettingen zijn namelijk ook besmettelijk(overdraagbaar) dat heeft te maken met fout marge van de pcr test!

En er komt ook nog bij dat niet alle mensen(jongeren) zich laat testen omdat je dan in quarantaine moet en dat wil je namelijk niet met dit mooie weer op gesloten zitten.

Dat zorgt er alleen maar voor dat de verspreiding door kan gaat en dan zijn we gewoon weer terug bij af en kan het hele liedje weer opnieuw afspelen!

Waardoor je in een soort van vicieuze cirkel blijft hangen als er elke keer een nieuwe mutaties blijven komen of gedetecteerd worden!

En de schade worden alleen maar groter op zowel economisch vlak en psychischs vlak en daarbij komt er ook nog eens meer long COVID patiënten erbij!

We gaan weer lekkere toekomst te gemoed not!!!

En terug komen op het datalek dit had natuurlijk veel beter getest moeten worden zo iets simpels had al ontdekt moeten word voor ze live gingen!
Misschien was de schade dan iets minder groot geweest maar dat is
Natuurlijk koffie dik kijken!

EDIT :
Arjen Lubach waarschuwt niks voor niks aan de tweedekamer dat hun digibetocratie zijn :
https://youtu.be/TRNJN_GQnRA

[Reactie gewijzigd door Havelock op 23 juli 2024 11:26]

fre0n @wildhagen • 18 juli 2021 18:56

Het zal een flink onderzoek zijn om de qr database nu op te schonen, te verifieren welke resultaten daadwerkelijk ook fysieke testresulteten matchen. Of wissen ze gewoon alles van dit bedrijf uit de qr database

martdj @wildhagen • 19 juli 2021 08:22

Ik kan hier alleen maar hartelijk om lachen. Dat hele Coronapaspoort is totale bullshit. Het feit dat je gevaccineerd bent, zegt niets over dat je niet meer besmet kunt raken en anderen kunt besmetten. Elke ondermijning van het systeem kan ik alleen maar toejuichen.

Tintel

Politiek en recht

@martdj • 19 juli 2021 12:17

Yep - schijnveiligheid om de economie weer op gang te helpen...

Naast de economische schade die veel bedrijven hebben opgelopen omdat ze dicht moesten geeft de overheid ook nog eens belasting-geld uit als water aan testen, vaccins, pers-conferenties en correpondentie (wie-o-wie heeft al meerdere keren een uitnodiging ontvangen om je te laten vaccineren terwijl je allang bent gevaccineerd?).

sweebee 18 juli 2021 16:21

Ze hebben die “online functies” anders nog wel op https://backup.testcoronanu.nl/ staan

Verwijderd @sweebee • 18 juli 2021 20:26

Interessant, ik kan (vanaf m'n xs4all account) https://backup.testcoronanu.nl gewoon bereiken, maar volgens https://isc.sans.edu/tools/dnslookup.html resolved die domeinnaam nergens.

Ook met internet via Ziggo of (mobiel) via T-Mobile resolved deze site niet.

De Cloudflare DNS server (1.1.1.1) kent de site wel: 151.101.65.195 of 151.101.1.195. Voor mensen die backup.testcoronanu.nl nu niet zien maar wel willen bekijken, als je het volgende in je hosts file opneemt wordt ie zichtbaar:

151.101.1.195 backup.testcoronanu.nl

digitalb @sweebee • 18 juli 2021 23:25

hoe vaak staat de tekst "uw gegevens zijn beveiligd" en "eigen beveiligde omgeving" wel niet op die pagina?

Fireburner 18 juli 2021 17:10

Is het vreemd om hier de overheid zelf óók verantwoordelijk voor te stellen? Onder druk v/d overheid moeten er allerlei test-straten komen. Waarbij als er dan ook nog eens met subsidie gestrooid wordt het een 100% zekerheid is dat er heel erg veel profiteurs een test-straat beginnen. En dus zal je dan als overheid ook gigantisch moeten inzetten op controle vooraf en tijdens, omdat zulke uitwassen door de overheid zelf zijn uitgelokt.
Notabene bij de GGD was óók al een groot datalek, je zou zeggen daar leren ze van....

Ik bedoel: vóórdat de overheid het massaal testen begon te verplichten/promoten, waren er 0 test-straten. En waren er nog nooit zoveel privacy gevoelige medische gegevens van Nederlandse burgers in de databases van maar een paar (semi-)private bedrijven, omdat de burger door de Nederlandse overheid (min of meer) verplicht wordt om dit te doen.

In mijn ogen is de overheid hier dan ook voor verantwoordelijk en zouden de verantwoordelijke bewindslieden (in ieder geval Rutte en De Jonge) op het matje geroepen moeten worden of nog beter is dat ze nu eindelijk uit eigen beweging na het zoveelste schandaal eens definitief opstappen.

[Reactie gewijzigd door Fireburner op 23 juli 2024 11:26]

bobby022 18 juli 2021 18:23

op hun website staat alleen het volgende:

ZONDAG 18 JULI GESLOTEN
Vanwege onvoorziene omstandigheden zijn helaas al onze locaties gesloten op zondag 18 juli 2021. Wij verzoeken alle klanten die via www.testenvoorjereis.nl hebben geboekt hun boeking te annuleren en een nieuwe boeking te maken bij een andere testaanbieder via: https://afspraak.testenvoorjereis.nl/.

Excuses voor het ongemak.

Stuur uw verzoeken naar info@testcoronanu.nl of stuur via Whatsapp een bericht, onze telefoonlijnen zijn momenteel gesloten.

Hoor je niet gewoon eerlijk te zijn en aan te geven dat je te maken hebt met een datalek?

tomverhoeff 18 juli 2021 13:48

Het is moeilijk te begrijpen dat deze aanbieder ondanks de amateuristische opzet van de systemen gewoon aangesloten was op de CoronaCheck keten.

Er was wel degelijk sprake van een officiele beoordelingsprocedure voor testaanbieder, dus is hier terug te vinden: https://www.rijksoverheid...estaanbieders-coronacheck

Daarin worden ondere andere een pentest ,NEN-7510/7512/7513 en een DPIA genoemd. Ben benieuwd hoe dat proces in dit geval is uitgevoerd

sroolvink @tomverhoeff • 18 juli 2021 13:53

Ik lees op verschillende nieuwsbladen, dat er geen enkele pentest is uitgevoerd omdat "het er op papier" goed uitzag volgens het ministerie.

tomverhoeff @sroolvink • 18 juli 2021 14:13

De ministers hebben inmiddels een officiele brief aan de tweede kamer gestuurd mbt dit incident, zie: https://www.tweedekamer.n...2021Z13855&did=2021D29583

Daarin wordt bevestigd dat alle stukken waren aangeleverd, maar lijkt er op dat dit (nog) niet onafhankelijk gevalideerd was.

Tegelijkertijd moeten testaanbieders om aangesloten te worden op CoronaCheck voldoen aan strenge aansluitvoorwaarden. De testaanbieder moet dat aantonen met bewijsstukken. Hieruit moet blijken dat voldaan wordt aan wet- en regelgeving én aan de geldende normen voor informatiebeveiliging in de zorg (waaronder NEN7510, 7512, 7513). Het aan te leveren bewijs omvat onder andere een DPIA en een pentestrapportage. Laatstgenoemde is een test waarbij experts het systeem onderzoeken op zwakke plekken en risico’s en deze wegnemen. Ook Testcoronanu BV heeft deze bewijsstukken voorafgaand aan aansluiting overlegd. Wij starten een nader onderzoek naar de juistheid van de aangeleverde bewijsstukken en in het bijzonder naar de aangeleverde pentest. Uit een goede pentest had de gevonden kwetsbaarheid namelijk moeten blijken. Mocht dit onderzoek hiertoe aanleiding geven dan zullen de aansluiteisen op CoronaCheck worden aangescherpt.

[Reactie gewijzigd door tomverhoeff op 23 juli 2024 11:26]

Verwijderd @tomverhoeff • 18 juli 2021 19:39

Het aan te leveren bewijs omvat onder andere een DPIA en een pentestrapportage. Laatstgenoemde is een test waarbij experts het systeem onderzoeken op zwakke plekken en risico’s en deze wegnemen.

Zoals ik schreef op security.nl: Sowieso biedt een pentest geen garantie dat alle kwetsbaarheden worden gevonden. Vooral niet een time boxed pentest - en zeker niet als er nog (nagenoeg) niets aan beveiliging is gedaan en de pentesters zijn misbruikt on de "gaping holes" te vinden, de opdrachtgever uitsluitend die heeft gefixed en denkt klaar te zijn.

Maar sowieso ga je bij time-limited en/of scope-limited pentests niet alle kwetsbaarheden vinden, en je komt nergens indien deze door flapdrollen zijn uitgevoerd. Daarbij: vakkundige + ervaren pentesters zijn schaars. Kansloos dit, inclusief de kennelijke verwachting van VWS.

En in aanvulling daarop: pentesters "nemen geen kwetsbaarheden weg". Zij kunnen aanbevelingen doen (maar dat hoeft niet). Als je, na het fixen, ervaren pentesters niet laat terugkomen totdat 0 kwetsbaarheden worden gevonden (binnen redelijke tijd), is het testproces een farce.

Ik kan me niet aan de indruk onttrekken dat dit hier aan de orde was, of dat ook dit een "sneltest" was. Wie weet bij hoeveel andere uit de grond gestampte Covid-testers dit speelt, maar nog niet ontdekt is door Daniël Verlaan $_/-\o_$ et al.

MuisM4t @Verwijderd • 19 juli 2021 01:59

[Reactie gewijzigd door MuisM4t op 23 juli 2024 11:26]

tvtech

@tomverhoeff • 18 juli 2021 16:39

Ik denk dat de resultaten van die aansluitvoorwaardentesten net zo makkelijk na te maken zijn als de coronatesten

NielsFL @tvtech • 18 juli 2021 18:26

Zo lees ik dat inderdaad ook: de eisen zijn misschien simpelweg onvoldoende geweest.

En als je dan een ontwikkelaar hebt die alleen naar de eisen kijkt en niet naar algemene best practices dan krijg je dit.

theduke1989 @sroolvink • 18 juli 2021 14:01

Hmmm is erg jammer dat. Als het op papier goed is, je in werkelijkheid ook dezelfde niveau hebt. In IT land is dat nooit het geval namelijk.

mrfreeze12345 18 juli 2021 13:46

Het ministerie van VWS stelt dat er 'geen signalen' zijn dat naast RTL nog een andere derde in de database is geweest.

Als het bedrijf die database al zo slecht op orde had, vraag ik me af of de logging van toegang wel goed geregeld was. Aan die 'geen signalen' hecht ik niet zo veel waarde.

dasiro @mrfreeze12345 • 18 juli 2021 13:57

misschien dat ze de logging in dezelfde database deden

project.bobby @mrfreeze12345 • 18 juli 2021 14:10

Inderdaad, als je geen logging of iets wat daar op lijkt hebt ingericht kan je uberhaupt geen signalen krijgen. Het is dan ook niet onwaar wat ze zeggen, maar bij mij gaan alarmbellen extra af als op deze manier uitleg wordt gegeven.

Zie hier ook een mooi voorbeeldje:
https://krebsonsecurity.c...uiti-breach-catastrophic/

SPee @mrfreeze12345 • 18 juli 2021 14:04

Daarvoor heb ik vertrouwen in de opties die hun cloud provider standaard biedt.

Dus zelfs nu dat bedrijf het slecht geregeld heeft, zou je (dankzij "de cloud") daar inzicht in moeten kunnen krijgen. En in het slechtste geval moet je dat bij de cloud provider zelf opvragen.

dasiro @SPee • 18 juli 2021 15:01

waarom zou een cloudprovider zich bezighouden om nog maar mogen inzien wie wat in je databases doet? Dat op zich is al een GDPR-inbreuk

SPee @dasiro • 18 juli 2021 15:29

Pure inhoud niet. Maar het gebruik wel (aantal request, bron, authenticatie indien opgezet).
Vaak moet je voor deze cloud functie voor het gebruik betalen (aantal requests, db grootte). Dan wil die provider wel monitoren wat het gebruik is geweest.

En dat is geen GDPR-inbreuk, omdat de cloud providers een "data processing" contract hebben met hun klant waardoor dit mogelijk is (voorbeeld).

fre0n @SPee • 18 juli 2021 18:58

De bron is als t goed is in alle gevallen dat testbedrijf zelf. Zo niet dan heeft de cloudprovider zelf ook een lek wat gemeld moet gaan worden

kodak

Networking en security
Datalek
Nederland

@SPee • 18 juli 2021 16:59

Wat dus onzin is aangezien de cloud niet zomaar beveiliging voor je regelt of verantwoordelijkheid over neemt.

Daarbij kan je zelfs lezen dat het probleem hier in een slecht beveiligde database as a service zit, wat extra duidelijk maakt dat gebruik maken van andermans services je bedrijf, je klanten en het land niet zomaar meer geeft dan een veilig gevoel.

Gebruik maken van de cloud, andermans services kan je beter als onveilig beschouwen tot het tegendeel is bewezen. Anders ben je met weinig anders bezig dan het liever mooi willen praten dan werkelijk geven om beveiliging en eigen verantwoordelijkheid over je bedrijf, klanten en in dit geval zelfs landijke en internationale volksgezondheid.

bussie66 @mrfreeze12345 • 18 juli 2021 15:34

Denk dat ze nog nooit van logging gehoord hebben

r0ut 18 juli 2021 13:49

Bizarre dat er geen pentest was uitgevoerd voordat de site live ging. Vooral als zo’n systeem dit soort persoonlijke informatie verwerkt.

SED @r0ut • 18 juli 2021 14:48

Ze hebben bewijsmateriaal aangeleverd waarin aangegeven werd dat er wel een pentest gedaan was. (Zie bijdrage hierboven)

IThom @SED • 18 juli 2021 14:56

Nouja, bizar is natuurlijk wel dat die aangeleverde informatie niet geverifieerd is, en dat er dus blind werd aangenomen dat het goed was.

SED @IThom • 18 juli 2021 20:51

Bizar is wat sterk aangezet gezien de tijdsdruk destijds.
Maar een controle kan nooit kwaad.
Ligt natuurlijk ook aan kwaliteit van "bewijsmateriaal".
Lijkt dus op oplichting nu.

Cid Highwind @SED • 18 juli 2021 23:38

Hoezo tijdsdruk? Het is een commerciële partij, één van velen, die mag dus live wanneer aan de eisen is voldaan. Wanneer niet aan de eisen wordt voldaan heeft men gewoon te wachten. Ten opzichte van aanbieders die hun zaakjes wel op orde hebben vraag ik me af of, indien hier opzettelijk nalatig is gehandeld, sprake is van een economisch delict.

SED @Cid Highwind • 18 juli 2021 23:45

Als je het element tijdsdruk gemist hebt in deze tijd dan heb je ergens onder een steen geleefd.
Er was en is een grote druk om weer terug te keren naar normaal. Testbedrijven waren en zijn daar een belangrijke schakel in. Men heeft duidelijk de nauwkeurigheid laten lopen om snelheid te breieken.
Dat men met valse bewijzen is gaan rommelen lijkt wel duidelijk. Dus ja.. oplichting en aanpakken dus.

IThom @SED • 18 juli 2021 23:24

De veiligheid van privegegevens was het allergrootste bezwaar tegen het hele "testen voor toegang".
Er vanuit gaande dat elk bedrijf geld wil verdienen moet je dat bedrijf niet zijn eigen vlees laten keuren en er dan blind vanuit gaan dat die keuring naar de gestelde eisen is gedaan.

Er is altijd gesteld dat de haast niet ten koste van de kwaliteit zou gaan, maar ja we horen wel vaker beloftes vanuit de politiek. Tegenwoordig bestaat verantwoordelijkheid nemen niet meer, sorry zeggen en zeggen dat je ook veel dingen goed hebt gedaan volstaat ook.

Jermyl @IThom • 23 juli 2021 11:08

de overheid heeft de pentest laten doen....

las3r 18 juli 2021 13:45

Voor zover ik heb kunnen lezen is hier weer sprake van beginnersfouten. Men maakte gebruik van firebase, en had deze zonder authorizatie volledig open staan voor het publiek. Je kunt dan dus wijzigingen en toevoegingen op de database doen, precies wat hier gebeurd is. Aangezien de site hier prima in faciliteerde (je kon gewoon de URL wijzigen en op die manier een update doen...), was het ook nog eens eenvoudig dit te doen.

Omdat de "PCR-testen" geautomatiseerd geleverd worden als PDF op basis van de info in die database, is vervolgens het feest compleet.

Dit zijn echt beginnersfouten van de partij die dit ontwikkeld heeft, en het zou me niet verbazen (mening / hearsay), gezien de subsidie die ook hier weer over de balk is gedonderd.

Edit: Ongefundeerde uitspraak weggehaald.

[Reactie gewijzigd door las3r op 23 juli 2024 11:26]

Djerro123 @las3r • 18 juli 2021 13:54

-(Opmerking over speculatie weggehaald)-

Verder eens met je stellingname overigens, echt belabberd geregeld door dit bedrijf. Hoewel sommige het beginnersfouten noemen ga ik nog wel een stap verder. Een beginner weet namelijk prima dat security “een ding” is en als je begint met Firebase dan weet je al genoeg van IT om te weten dat een db gewoon openzetten niet hoort in een productie systeem.

[Reactie gewijzigd door Djerro123 op 23 juli 2024 11:26]

Verwijderd @Djerro123 • 18 juli 2021 20:13

Op de over ons op de site testcoronanu.nl (nu weg en 404) beweerden ze uit de zorg te komen “wordt gerund door een drietal zorgondernemers” varierend van zorgmedewerker tot arts. Zoek op linkedin ff wie de owner zegt te zijn. Je lacht je rot

als je bij de nos kijkt is het meest opmerkelijke zinnetje dat allerlei influencers reclame voor ze maakten. Van de kosten van een zo’n pipo had de ontwikkelaar lesje 2 van de tutorial firebase kunnen implementeren.

Tuurlijk, hearsay is ongefundeerd gerucht, maar daar hebben ze het zelf naar gemaakt.

DJMaze @las3r • 18 juli 2021 19:32

Volgens de KvK bestaat testcoronanu niet meer.
Maar Salcare te Utrecht (notabene een jeugdzorg ding) is verantwoordelijk voor deze ellende.
Ik vraag mij dan vooral huiverend af hoe zij met de data in de jeugdzorg om gaan (zo staan ze ingeschreven).

Het adres is ook raar.

[Reactie gewijzigd door DJMaze op 23 juli 2024 11:26]

kodak

Networking en security
Datalek
Nederland

@DJMaze • 18 juli 2021 20:32

Je kan ook op de correcte bedrijfsnaam zoeken, in plaats van woorden te verwisselen. Dan staat het gewoon in het register van de KvK.

DJMaze @kodak • 19 juli 2021 08:39

De woorden stonden hier verwisselt.
Ik heb het hier gecorrigeerd zodat de informatie klopt.

Verwijderd @DJMaze • 18 juli 2021 21:23

Volgens de KvK bestaat coronatestnu niet meer.

coronatestnu.nl
testcoronanu.nl

Rerebobo 18 juli 2021 13:57

Hier moeten echt strengere regels voor komen en betere handhaving en toezicht.
Wij allemaal een hoop gedoe om aan de AVG/GDPR te voldoen en dit soort zaken waar het echt belangrijk of in ieder geval nog belangrijker is kijkt niemand naar om.

wica @Rerebobo • 18 juli 2021 14:24

We hebben al strenge regels rond om dit soort gegeven. Maar wat heb je aan deze regels, als het niet gecontroleerd wordt?

Voor o.a. dit zou Hugo de Jong zich voor een echter moeten verantwoorden. Maar jammer genoeg doet ons OM dat niet.

Rerebobo @wica • 18 juli 2021 14:58

Precies en daarom spreek ik ook over handhaving en toezicht. Blijkbaar zijn de regels niet streng genoeg in de zin van consequenties als men niet aan de regels voldoet. Daar doelde ik eigenlijk op met strengere regels.

MachIII @Rerebobo • 18 juli 2021 14:02

Alsof jij niet begrijpt waarom er strengere regels moeten komen.

Alcmaria 18 juli 2021 13:43

Tja… wat moet je hier nou op reageren… wat een ongelooflijke beginners.. Ik zou zeggen voordat je op testenvoorjereis komt eerst een certificering door ofzo..

Pfff

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (189)

Sorteer op:

Weergave: