Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Belgische toezichthouder onderzoekt mogelijk beveiligingslek in CovidScan-app

De Belgische Gegevensbeschermingsautoriteit onderzoekt een mogelijk beveiligingslek bij het valideren van Covid Safe Tickets in de CovidScan-app. Daarbij zijn mogelijk ruim 39.000 mensen getroffen.

De Gegevensbeschermingsautoriteit heeft het mogelijke beveiligingslek op woensdag zelf bekendgemaakt, schrijven verschillende Belgische media, waaronder De Morgen. De CovidScan-app wordt gebruikt om QR-codes uit de Belgische CovidSafe-app te lezen en te valideren. Met zo'n QR-code kunnen mensen aantonen dat ze gevaccineerd of getest zijn voor het coronavirus, of eerder het coronavirus zelf hebben opgelopen, om daarmee toegang te krijgen tot bepaalde evenementen.

Volgens de GBA doet het mogelijke beveiligingslek zich voor bij een bepaalde versleutelde lijst. Daarop zouden mensen staan die gevaccineerd zijn tegen het coronavirus, maar later alsnog positief getest zijn voor dat virus. Van die mensen wordt hun vaccinatiebewijs opgeschort, waarna ze op een suspension list terechtkomen, die via het web benaderbaar is. Deze lijst is versleuteld, maar kon via de CovidScan-app alsnog worden uitgelezen. Volgens de GBA zijn er 'ruim' 39.000 mensen getroffen.

De privacytoezichthouder geeft aan dat het probleem is opgemerkt door een burger, schrijft ook Le Soir. Het gaat om een medewerker van de Universiteit van Louvain-la-Neuve, die erin slaagde om de suspension list uit te lezen, dankzij een encryptiesleutel die in de CovidScan-app zit verwerkt. Het zou daarmee in theorie voor hackers mogelijk zijn om een lijst in te zien met gegevens van gevaccineerde personen die positief zijn getest op het coronavirus. Volgens De Morgen geeft de GBA aan dat het de zaak als 'zeer ernstig' opvat en deze zal 'opvolgen', maar er zijn nog geen details over mogelijke vervolgacties. Voor zover bekend is het lek nog niet gedicht, meldt het dagblad.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Daan van Monsjou

Nieuwsposter

13-10-2021 • 20:02

24 Linkedin

Reacties (24)

Wijzig sortering
Pour la petite histoire: Guillaume Derval van de LLN universiteit die het ontdekte is ongetwijfeld een uitstekend informaticus, maar is ook de drijvende kracht achter de antivax-website "covidrationnel", die in Franstalig België enorme invloed uitoefent en zowat eigenhandig verantwoordelijk is voor de lage vaccinatiegraad in Brussel en Wallonië.

Kudos voor het ontdekken van een belangrijk beveiligingsissue, maar dat hij er voor kiest om bij de GBA aan te kloppen en het in de media uit te smeren *voordat* hij een poging tot responsible disclosure doet met de developers, lijkt me niet alleen ethisch bedenkelijk maar dient bovendien ook politieke motieven voor die man.

Hij had een mogelijkheid om op constructieve manier bij te dragen aan de strijd tegen covid maar heeft bewust gekozen voor een tactiek die meer chaos creeert, want dat is in zijn ideologische voordeel. Dat is misschien zijn recht, maar dat is ook jammer.
Reageer
Als de decryptie-sleutel überhaupt aanwezig is in de app, dan mag het geen verrassing zijn dat deze uitlekt. Dat zouden ze toch wel horen te weten?

Zelfde idee als keys in (client-side) javascript inbouwen. Kleine moeite om dit te 'kraken'.
There’s no way to secure secrets stored on the client. Once someone can run your software on their own device, it’s game over.
Reageer
Afhankelijk van de hoeveelheid rechten die je met je programma kan krijgen, kun je heel goed geheimen aan de clientkant bewaren. Dat is bijvoorbeeld hoe restrictieve DRM werkt. Een Netflix-4K-stream downloaden doe je niet eventjes, daar zit serieuze beveiliging op. Toch kun je op de meeste Android-TV's en Chromecasts gewoon je eigen apps testen en debuggen.

Dat gezegd hebbende, je moet de secrets wel goed bewaren als je ze bewaart. De secure enclave wordt genoemd in de post die je linkt, en die kun je gebruiken voor een lokaal-gegenereerd geheim zonder bang te hoeven zijn dat anderen daar aanzitten.

De echte les hier is wellicht dat het gebrek aan een goede terugroeplijst een probleem is. De Nederlandse versie heeft deze feature niet eens (ben je gevaccineerd en krijg je corona dan heb je nog gewoon een groen vinkje) maar als ze zo'n feature toevoegen, dan hoop je op zijn minst dat de identiteit van de mensen op die lijst voldoende geheim blijft.

Er is overigens een reden dat men op het web OCSP stapling heeft ontwikkeld: certificaatterugroepingen zijn moeilijk goed te doen zonder privacyproblemen, en daarom sturen veel servers een kort geldig, door hun CA-ondertekend bericht mee met hun certificaat dat bewijst dat het niet teruggetrokken is. Om zoiets in de corona-apps te doen, moet er serieus worden nagedacht zodat er geen misbruik van kan worden gemaakt.
Reageer
Op de Nederlandse versie moet je dan vziw de client/bezoeker de QR code laten intrekken middels een check bij de server. Dit maakt de app afhankelijk van Internet en online infrastructuur.

Als je de code ongeldig laat verklaren aan de controlerende kant middels een lijst moet je een unique identifier toevoegen wat niet kan c.q. tegen de belofte/regels in is.
Reageer
Maar wat staat er precies in die lijst? Enkel een identifier naar je app of ook echt persoonsgegevens?
Hij kan de lijst uitlezen, maar is er ook daadwerkelijk een lek van persoonsgegevens?
Reageer
Naar alle waarschijnlijkheid is het een lijst van rijksregisternummers. Op zich kan je hiermee niet meteen aan identiteitsfraude doen en kan je normaal gezien ook niet meteen weten over wie het gaat. Er zit wel een geboortedatum in het nummer verwerkt, dus als je een vermoeden hebt van een persoon kan je op deze manier wel een vrij grote zekerheid bekomen. De HR-afdeling van een werkgever kent dit nummer wel, dus dat zou wel een probleem kunnen geven.
Reageer
Wat mij dan meer dwars zit is dat blijkbaar in de Belse variant niet enkel de initialen + geboortedag/maand in de QR staat maar ook het bsn nummer of equivalent. Ik weet niet of men in België is beloofd dat de privacy gewaarborgd zou zijn, maar da's dus een wassen neus.
Reageer
Wat me meer opvalt is dat er 39000 mensen zijn die positief zijn getest ondanks dat ze gevaccineerd zijn. En dat kan wel vrij deelnemen aan de huidige situatie want ze hebben een geldige qr.
Reageer
Het is geen nieuw lek, het is een lek wat er al langer in zit maar wat nu pas naar buiten gekomen is, dit betreft dus alle mensen die op de lijst staan, maar ook zij die er op hebben gestaan.

Er zijn op dit 8.37 Miljoen Belgen volledig gevaccineerd (73.3%)
Alleen de afgelopen 2 maanden zijn er al 120.000 besmettingen geconstateerd.

Het vaccin doet zijn werk dus schijnbaar goed want niet-gevaccineerden lopen dus een vele malen grotere kans om een geconstateerde besmetting te hebben.

Ik vindt het prima cijfers :)

En deze 39.000 mensen konden dus gedurende een bepaalde periode juist niet deelnemen aan de veel dingen want hun code was tijdelijk opgeschort.

[Reactie gewijzigd door Groningerkoek op 14 oktober 2021 00:34]

Reageer
Het is geen nieuw lek, het is een lek wat er al langer in zit maar wat nu pas naar buiten gekomen is
Das vrijwel altijd zo, de lekken zijn niet zo obvious dat ze gelijk bij release door een derde partij gevonden worden. Ze zitten al tijden (soms +20 jaar, zoals bij de recente printer issues) in de functionaliteit, maar zijn niet eerder opgemerkt.
Reageer
De gelekte lijst maakt je (Belgische) QR code dus blijkbaar ongeldig. Waarom zou de lijst anders bestaan en uitgelezen kunnen worden door de app.

[Reactie gewijzigd door gimbal op 13 oktober 2021 23:02]

Reageer
Was handiger geweest als ze zoiets in EU verband zouden developen
Reageer
De app zelf is gebaseerd op de open source app die ook in andere landen gebruikt wordt. De suspension list van mensen die gevaccineerd zijn maar toch positief getest hebben is een recente toevoeging aan de app, en dus mogelijk zelf ontwikkeld.
Reageer
Het niet in kunnen trekken van een 'QR code' is dan ook een stompzinnige miskleun. Dat had na uitrol gezamenlijk ontwikkeld moeten worden.
Reageer
Dit is inderdaad bijzondere dom..

Slimmer was geweest als er alleen keys op de lijst stonden die niet direct herleidbaar zouden zijn tot een burger. Ik snap echt niet waarom dat wel het geval was. Dan was encryptie nergens voor nodig.. het had net zo goed een lijst met SHA256 hashes kunnen zijn (hash van de volledige data van de QR oid..).
Reageer


Om te kunnen reageren moet je ingelogd zijn


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True