Privésleutels van corona-apps zijn niet gestolen

De privésleutels van de Franse en Poolse corona-apps zijn niet gestolen. De credentials van een werknemer zijn uitgelekt, waardoor woensdag een aanvaller neppe Europese coronacodes kon aanmaken onder de naam Adolf Hitler.

In een van de repo's op GitHub zijn credentials voor de Digital Green Certificate-frontend gevonden, schrijven ontwikkelaars die zich met de Europese coronapas-applicatie bezighouden. Die credentials maakten het mogelijk in te loggen op de webportal waarmee coronapassen konden worden gemaakt. Dat gebeurde deze week, toen criminelen een geldige QR-code wisten te genereren onder de naam Adolf Hitler. Het ministerie van Volksgezondheid begon toen een onderzoek, omdat de crimineel zelf het gerucht verspreidde dat hij de privésleutels van de corona-apps van verschillende Europese landen had gehackt. Hij dreigde die op 4chan openbaar te maken.

Nu blijkt dus dat de privésleutels niet gestolen zijn. In plaats daarvan had iemand alleen toegang tot de mogelijkheid om losse QR-codes te maken en niet om bijvoorbeeld alle QR-codes ongeldig of juist geldig te maken. In andere Europese landen is het toestaan of intrekken van een groen vinkje in de coronapas centraal per land geregeld, maar in Nederland is dat niet het geval.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 28-10-2021 15:26
99 • submitter: NSURLSession

28-10-2021 • 15:26

99 Linkedin

Submitter: NSURLSession

Lees meer

Overheid heeft sinds oktober 23 valse CoronaCheck-QR-codes geblokkeerd Nieuws van 5 november 2021
Waarom zou CoronaCheck-vinkje niet rood worden na positieve test? Nieuws van 28 oktober 2021
'Nederland gaat na of privésleutels Franse en Poolse corona-apps zijn uitgelekt' Nieuws van 27 oktober 2021
Ministerie doet aangifte tegen site voor frauduleuze CoronaCheck-QR-codes Nieuws van 14 oktober 2021
Nederlandse CoronaCheck-app is 'ongeveer' tien miljoen keer gedownload Nieuws van 15 september 2021
Meer producten en artikelen
Software development corona-app coronavirus

Reacties (37)

-Moderatie-faq
37
32
18
0
0
8
Wijzig sortering
Yzord
28 oktober 2021 15:44
Beetje vreemde titel. Doet suggereren alsof NL privesleutels gestolen zouden zijn.
jip_86
@Yzord28 oktober 2021 15:55
Dat dacht men naar aanleiding van de QR voor Adolf Hitler.
WhatsappHack
@Yzord28 oktober 2021 16:02
Men dacht geloof ik dat ze uit Polen of Frankrijk gejat waren.
CH4OS
@Yzord28 oktober 2021 16:20
Nou ja, als ik jip_86 in 'nieuws: Privésleutels van corona-apps zijn niet gestolen' lees, is dat mogelijk ook het geval.
d4v1d
28 oktober 2021 15:31
En waarom zit op dat webportal geen 2FA... ?
ronansoleste
@d4v1d28 oktober 2021 15:33
Het argument wat ik het meeste heb gehoord hierover
tweestaps authenticatie is ververlend pfff...
Zyphlan
@ronansoleste28 oktober 2021 15:37
paar jaartjes in de Cybersecurity gezeten en dan inderdaad 2FA verkoop...

Je zin vat echt goed samen hoe de gemiddelde werknemer erover denkt :+ en dat is eigenlijk de grootste hurdle die een CISO moet nemen en dan bij voorkeur zo goedkoop mogelijk.

Het is wel aan het veranderen de laatste paar jaar.
phoenix2149
@Zyphlan28 oktober 2021 16:28
Tegenwoordig is het zelfs 4FA

1: moet inloggin in VPN werk met 2FA
2: Om vervolgens de gateway naar klanten weer met wachtwoord en 2FA, dit terwijl we enkel toegang hebben als we op VPN zitten en hat SSO heeft.

Maar goed het moet allemaal maar.
wica
@phoenix214928 oktober 2021 18:08
Een wachtwoord om bij mij wachtwoorden te kunnen, om vervolgens bij mij MFA te kunnen, om vervolgens met die 2 een VPN verbinding op te kunnen zetten. Om vervolgs mijn SSH key te unlocken. En weer een wachtwoord om iets op het systeem te mogen.

Nee het wordt niet gemakkelijker.😁
rik86
@Zyphlan28 oktober 2021 16:22
nou ja, op zich is 't toch ook irritant, 't zou veel makkelijker/sneller zijn als je maar 1-factor, of überhaupt niet, in zou hoeven te loggen

En daar zitten uiteraard wat nadelen/risico's aan ;)
Blokker_1999
@Zyphlan28 oktober 2021 18:40
Gewoon invoeren die handel tijdens het weekend. Op maandag ochtend komen er enkele klagen maar binnen de week ben je daar ook weer van af.
Kabouterplop01
@d4v1d29 oktober 2021 08:19
waarom hangt het aan het internet?
gepebril
@d4v1d29 oktober 2021 11:14
Helaas ben ik geen developer, echter de discussie op Github lijkt toch te wijzen dat de sleutels wel degelijk gestolen zin (hoor ik van iemand die in hackers scene zit) Hier is de discussie:
https://github.com/ehn-dc...discussioncomment-1554849

Wellicht is men niet blij en probeert men de feiten onder het tapijt te vegen.
killzonex
@gepebril30 oktober 2021 09:24
Maar dan pak je je corona scanner en je scant die qr... Zie je direct toch of het groen word?
jip_86
28 oktober 2021 15:56
Het verhaal loopt inmiddels al wel wat verder. Iemand claimt de private keys voor alle landen te hebben. Als bewijs is er nu ook een QR voor spongebob bijvoorbeeld :+
https://twitter.com/Xiloeee/status/1453493664806735876
WhatsappHack
@jip_8628 oktober 2021 16:03
Ze zeggen dan ook dat ze niet *gestolen* zijn. :+ (Wat er dan wél mee is gebeurd... :P) Maar zijn dit niet gewoon codes uit dezelfde bron als die de Adolf Hitler code had aangemaakt? Zo ja, dan zou dát lek opgelost moeten zijn.

[Reactie gewijzigd door WhatsappHack op 28 oktober 2021 16:05]

jip_86
@WhatsappHack28 oktober 2021 16:33
Lijkt op slechte beveiliging bij het aanmaken als ik het draadje zo lees.
djiwie
@WhatsappHack28 oktober 2021 18:23
Zo te zien wel, en alle codes werken ook niet meer.
MazDaMan1970
28 oktober 2021 15:48
Verbaasd mij niks. Het grappige bij dit soort berichten is dat er allerhand aannames zijn over slechte beveiliging, terwijl dit gewoon een domme menselijke fout is :-) Ok, je zou dit slechte menselijke beveiliging kunnen noemen. Ik kom nog regelmatig handleidingen bij bedrijven tegen, waarbij domweg de credentials vermeld staan, ipv. een verwijzing naar een password-manager. Dan kun je nog zoveel fancy security hebben, de grootste veiligheidslek zit nog steeds achter een toetsenbord.
wica
28 oktober 2021 16:14
Hmm, kreeg op 1 oktober van iemand het bericht dat de key gelekt was. Achteraf had ik misschien moeten door vragen.
Falcon
@wica28 oktober 2021 16:28
Lees: jip_86 in 'nieuws: Privésleutels van corona-apps zijn niet gestolen'
Kabouterplop01
@wica29 oktober 2021 08:32
Dat maakt deze clusterF*** nog interessanter ja!
Sfynx
28 oktober 2021 17:35
Dat vermoeden had ik al een beetje, private keys zijn vrij goed te beveiligen met iets als een HSM waarbij ze die nooit hoeven te verlaten voor het gebruik ervan, ik neem aan dat dergelijke dingen wel worden ingezet voor dit soort operaties.
Pas_PC
28 oktober 2021 17:36
Stop maar gelijk met die coronacheck app a.u.b. laatste 3 restaurants die ik heb bezocht deden ze niet aan coronacheck.
Anoniem: 428562
@Pas_PC28 oktober 2021 19:26
Gaat nog wel veranderen, er zijn inmiddels system te koop die een automatische deur combineren met een QR reader, zonder pas gaat de deur niet open.


https://biora.nl/product/...-als-optie-display-bio8t/

Automatische toegangssysteem met QR code scanner voor Covid paspoort en of testen en temperatuur meting en met warmte beeld camera, c.q. automatische koortsmeter. Tevens mogelijkheid voor controle op het dragen van de verplichtte mondmaskers.
Sannr2
@Anoniem: 42856228 oktober 2021 20:52
Dat is dus een QR check zonder controle van het ID. Daar kom je dus met elke willekeurige code binnen. Bovendien als de deur van het restaurant open is dan loopt toch na de eerste de hele rest van het restaurant ook door? Vrij zinloos.
WhatsappHack
@Anoniem: 42856228 oktober 2021 20:43
Gezien de maatregelen van tijdelijke aard zijn, lijkt het me goedkoper en effectiever om gewoon handmatig aan de deur te controleren. ;)
Pas_PC
@Anoniem: 42856228 oktober 2021 21:11
Gaat in Nederland nooit gebeuren. Maar je moet wel wat merendeel van de ongevaccineerde heeft een valse QR code
LanTao
@Anoniem: 42856229 oktober 2021 03:26
De temperatuur opnemen van winkelbezoekers is hier bij wet verboden. Dat is namelijk een medisch gegeven.
Risce
@Pas_PC28 oktober 2021 20:11
Anekdotisch bewijs

Overigens volgt hier niet uit, zelfs als jouw anekdote gelijk staat aan de gehele realiteit, dat je dan de app weg doet. De app werkt, de implementatie en gebruik moet anders.
XVI
28 oktober 2021 18:56
Zo zo, crimineel. Voorheen heette dat hacker dacht ik. Maar dat is natuurlijk afhankelijk van de ideologie die je aanhangt en van de mate van psychologische gedragsbeïnvloeding dat je wilt bewerkstelligen als medium zijnde.
Webxorcist
29 oktober 2021 08:12
Dat die mensen ook maar gewoon criminelen worden genoemd. Deze mensen heb je nodig om dit soort wangedrag van een developer, want dat is het gewoon, te vinden en te verbeteren. Maar ja, de wereld noemt crackers hackers en alles over een kam.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee