Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Belgische toezichthouder onderzoekt mogelijk beveiligingslek in CovidScan-app

De Belgische Gegevensbeschermingsautoriteit onderzoekt een mogelijk beveiligingslek bij het valideren van Covid Safe Tickets in de CovidScan-app. Daarbij zijn mogelijk ruim 39.000 mensen getroffen.

De Gegevensbeschermingsautoriteit heeft het mogelijke beveiligingslek op woensdag zelf bekendgemaakt, schrijven verschillende Belgische media, waaronder De Morgen. De CovidScan-app wordt gebruikt om QR-codes uit de Belgische CovidSafe-app te lezen en te valideren. Met zo'n QR-code kunnen mensen aantonen dat ze gevaccineerd of getest zijn voor het coronavirus, of eerder het coronavirus zelf hebben opgelopen, om daarmee toegang te krijgen tot bepaalde evenementen.

Volgens de GBA doet het mogelijke beveiligingslek zich voor bij een bepaalde versleutelde lijst. Daarop zouden mensen staan die gevaccineerd zijn tegen het coronavirus, maar later alsnog positief getest zijn voor dat virus. Van die mensen wordt hun vaccinatiebewijs opgeschort, waarna ze op een suspension list terechtkomen, die via het web benaderbaar is. Deze lijst is versleuteld, maar kon via de CovidScan-app alsnog worden uitgelezen. Volgens de GBA zijn er 'ruim' 39.000 mensen getroffen.

De privacytoezichthouder geeft aan dat het probleem is opgemerkt door een burger, schrijft ook Le Soir. Het gaat om een medewerker van de Universiteit van Louvain-la-Neuve, die erin slaagde om de suspension list uit te lezen, dankzij een encryptiesleutel die in de CovidScan-app zit verwerkt. Het zou daarmee in theorie voor hackers mogelijk zijn om een lijst in te zien met gegevens van gevaccineerde personen die positief zijn getest op het coronavirus. Volgens De Morgen geeft de GBA aan dat het de zaak als 'zeer ernstig' opvat en deze zal 'opvolgen', maar er zijn nog geen details over mogelijke vervolgacties. Voor zover bekend is het lek nog niet gedicht, meldt het dagblad.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Daan van Monsjou

Nieuwsposter

13-10-2021 • 20:02

24 Linkedin

Reacties (24)

Wijzig sortering
Meer duidelijkheid over de 'lek':
https://datanews.knack.be...article-news-1790141.html
'Wij zien dat niet als een veiligheidsprobleem. Unieke certificaatnummers moeten rood scannen als ze niet meer geldig zijn, dus die worden in een publieke lijst bijgehouden zodat de app dagelijks kan nagaan welke codes vandaag ongeldig zijn. Maar dat gaat enkel om certificaatnummers, geen ID's, geen reden waarom ze ongeldig zijn.'
Het gaat om certificaatnummers die op geen enkele manier gelinkt kunnen worden aan personen.

[Reactie gewijzigd door THA_ErAsEr op 15 oktober 2021 10:52]

Reageer
Een Netflix-4K-stream downloaden doe je niet eventjes
De stream downloaden doe je niet zo maar. Met voldoende motivatie breekt iemand daar ook zo iemand doorheen.

De stream kopiëren is anders wel relatief makkelijk. Windows beschermd bv de DRM van Netflix (en andere programma's), maar op driver niveau banjer zo om die beveiliging heen.

Elke beveiliging is te breken en je kunt nooit clients vertrouwen. Er is altijd wel een weg omheen. Het was bij DOOM al bekend dat je nooit de client kan vertrouwen hoe goed je je best ook doet.
Reageer
Kun je niet gewoon een Elgato gebruiken, of iets soortgelijks wat tussen de hdmi-verbinding te plaatsen is?
Reageer
Afhankelijk van de hoeveelheid rechten die je met je programma kan krijgen, kun je heel goed geheimen aan de clientkant bewaren. Dat is bijvoorbeeld hoe restrictieve DRM werkt. Een Netflix-4K-stream downloaden doe je niet eventjes, daar zit serieuze beveiliging op. Toch kun je op de meeste Android-TV's en Chromecasts gewoon je eigen apps testen en debuggen.
Corrigeer me aub als ik er naast zit. Is het voor DRM (Fairplay-streaming oid) niet van belang dat dit ondersteund wordt door het OS (of browser)? De server die de key opstuurt moet 100% zonder twijfel weten dat deze alleen bij de legitieme app terecht komt. Voor zover ik kan vinden bestaat deze functionaliteit simpelweg niet, enkel DRM voor streaming video (en audio?). Zonder support van Android/iOS lijkt me dit gewoon niet veilig te kunnen. Mocht dit wel kunnen lees ik hier graag meer over.
Dat gezegd hebbende, je moet de secrets wel goed bewaren als je ze bewaart. De secure enclave wordt genoemd in de post die je linkt, en die kun je gebruiken voor een lokaal-gegenereerd geheim zonder bang te hoeven zijn dat anderen daar aanzitten.
Een lokaal-gegenereerd geheim kan je inderdaad veilig bewaren. Hoe ga je hier echter een bestand mee decrypten? Het probleem is dat de key vanuit een andere server moet komen, en juist niet lokaal gegenereerd moet zijn. Public/Private keys lossen wel een deel op, maar hoe kan je zeker weten dat een key gegenereerd is door een legitieme app, of door een neppert?
...rest van je bericht....
Mee eens, bedankt voor de toevoeging! Dit is heel moeilijk (zo niet onmogelijk) om voor elkaar te krijgen zonder privacy in te leveren.
Reageer
Het werkt niet (enkel) met rijksregisternummers. Bv. Mensen zonder verblijfsvergunning kunnen ook een vaccinatie certificaat krijgen, en hebben niet altijd zo'n rijksregistratie nummer.
Reageer
Uit https://twitter.com/philaloux/status/1448686526741811208 leid ik af dat het gaat om een lijst met ingetrokken QR-codes. Het lek bestaat er dan in dat je, mits je de QR-code hebt kunnen kopiëren van iemand wiens identiteit je kent, je die code dan kan kruisen met de lijst en daaruit kan afleiden of hij/zij op die lijst staat of niet (hetgeen iets prijsgeeft over vaccinatiestatus). Maar je moet dus eerst de hand kunnen leggen op iemands QR-code.

Het lijkt een "lek" van het genre, dat iemand die je paspoort steelt, daarmee je woonplaats te weten komt.
Reageer
Wat me meer opvalt is dat er 39000 mensen zijn die positief zijn getest ondanks dat ze gevaccineerd zijn.
Met ruwweg 28000 positief geteste Belgen in de afgelopen 14 dagen (waarvan waarschijnlijk de meerderheid niet gevaccineerd is) is dat inderdaad zeer veel.

Wellicht zit ik er helemaal naast, maar wat ik kan bedenken als redenen is dat de "intrekkening" niet tijdelijk is (d.w.z. voor volledig gevaccineerden niet automatisch vervalt na de quarantaineperiode) en/of dat het deels gaat om permanente intrekkingen van frauduleus uitgegeven QR-codes.
Reageer
Nee, ze kunnen net niet vrij deelnemen dankzij deze lijst die aan de scan app doorgeeft dat hun code tijdelijk ongeldig is.
Reageer
Erg lastig want elk land heeft zijn eigen methoden voor opslag van persoons en medische gegevens, er is overeenstemming omtrent het accepteren van elkaars QR codes en dat lijkt mij in het gegeven tijdsbestek het hoogst haalbare.
Reageer


Om te kunnen reageren moet je ingelogd zijn


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True