Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Belgische toezichthouder onderzoekt mogelijk beveiligingslek in CovidScan-app

De Belgische Gegevensbeschermingsautoriteit onderzoekt een mogelijk beveiligingslek bij het valideren van Covid Safe Tickets in de CovidScan-app. Daarbij zijn mogelijk ruim 39.000 mensen getroffen.

De Gegevensbeschermingsautoriteit heeft het mogelijke beveiligingslek op woensdag zelf bekendgemaakt, schrijven verschillende Belgische media, waaronder De Morgen. De CovidScan-app wordt gebruikt om QR-codes uit de Belgische CovidSafe-app te lezen en te valideren. Met zo'n QR-code kunnen mensen aantonen dat ze gevaccineerd of getest zijn voor het coronavirus, of eerder het coronavirus zelf hebben opgelopen, om daarmee toegang te krijgen tot bepaalde evenementen.

Volgens de GBA doet het mogelijke beveiligingslek zich voor bij een bepaalde versleutelde lijst. Daarop zouden mensen staan die gevaccineerd zijn tegen het coronavirus, maar later alsnog positief getest zijn voor dat virus. Van die mensen wordt hun vaccinatiebewijs opgeschort, waarna ze op een suspension list terechtkomen, die via het web benaderbaar is. Deze lijst is versleuteld, maar kon via de CovidScan-app alsnog worden uitgelezen. Volgens de GBA zijn er 'ruim' 39.000 mensen getroffen.

De privacytoezichthouder geeft aan dat het probleem is opgemerkt door een burger, schrijft ook Le Soir. Het gaat om een medewerker van de Universiteit van Louvain-la-Neuve, die erin slaagde om de suspension list uit te lezen, dankzij een encryptiesleutel die in de CovidScan-app zit verwerkt. Het zou daarmee in theorie voor hackers mogelijk zijn om een lijst in te zien met gegevens van gevaccineerde personen die positief zijn getest op het coronavirus. Volgens De Morgen geeft de GBA aan dat het de zaak als 'zeer ernstig' opvat en deze zal 'opvolgen', maar er zijn nog geen details over mogelijke vervolgacties. Voor zover bekend is het lek nog niet gedicht, meldt het dagblad.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Daan van Monsjou

Nieuwsposter

13-10-2021 • 20:02

24 Linkedin

Reacties (24)

Wijzig sortering
Afhankelijk van de hoeveelheid rechten die je met je programma kan krijgen, kun je heel goed geheimen aan de clientkant bewaren. Dat is bijvoorbeeld hoe restrictieve DRM werkt. Een Netflix-4K-stream downloaden doe je niet eventjes, daar zit serieuze beveiliging op. Toch kun je op de meeste Android-TV's en Chromecasts gewoon je eigen apps testen en debuggen.

Dat gezegd hebbende, je moet de secrets wel goed bewaren als je ze bewaart. De secure enclave wordt genoemd in de post die je linkt, en die kun je gebruiken voor een lokaal-gegenereerd geheim zonder bang te hoeven zijn dat anderen daar aanzitten.

De echte les hier is wellicht dat het gebrek aan een goede terugroeplijst een probleem is. De Nederlandse versie heeft deze feature niet eens (ben je gevaccineerd en krijg je corona dan heb je nog gewoon een groen vinkje) maar als ze zo'n feature toevoegen, dan hoop je op zijn minst dat de identiteit van de mensen op die lijst voldoende geheim blijft.

Er is overigens een reden dat men op het web OCSP stapling heeft ontwikkeld: certificaatterugroepingen zijn moeilijk goed te doen zonder privacyproblemen, en daarom sturen veel servers een kort geldig, door hun CA-ondertekend bericht mee met hun certificaat dat bewijst dat het niet teruggetrokken is. Om zoiets in de corona-apps te doen, moet er serieus worden nagedacht zodat er geen misbruik van kan worden gemaakt.
Reageer


Om te kunnen reageren moet je ingelogd zijn


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True