Privésleutels van corona-apps zijn niet gestolen

De privésleutels van de Franse en Poolse corona-apps zijn niet gestolen. De credentials van een werknemer zijn uitgelekt, waardoor woensdag een aanvaller neppe Europese coronacodes kon aanmaken onder de naam Adolf Hitler.

In een van de repo's op GitHub zijn credentials voor de Digital Green Certificate-frontend gevonden, schrijven ontwikkelaars die zich met de Europese coronapas-applicatie bezighouden. Die credentials maakten het mogelijk in te loggen op de webportal waarmee coronapassen konden worden gemaakt. Dat gebeurde deze week, toen criminelen een geldige QR-code wisten te genereren onder de naam Adolf Hitler. Het ministerie van Volksgezondheid begon toen een onderzoek, omdat de crimineel zelf het gerucht verspreidde dat hij de privésleutels van de corona-apps van verschillende Europese landen had gehackt. Hij dreigde die op 4chan openbaar te maken.

Nu blijkt dus dat de privésleutels niet gestolen zijn. In plaats daarvan had iemand alleen toegang tot de mogelijkheid om losse QR-codes te maken en niet om bijvoorbeeld alle QR-codes ongeldig of juist geldig te maken. In andere Europese landen is het toestaan of intrekken van een groen vinkje in de coronapas centraal per land geregeld, maar in Nederland is dat niet het geval.

Door Tijs Hofmans

Nieuwscoördinator

28-10-2021 • 15:26

99 Linkedin

Submitter: NSURLSession

Reacties (37)

37
32
18
0
0
8
Wijzig sortering
Beetje vreemde titel. Doet suggereren alsof NL privesleutels gestolen zouden zijn.
Dat dacht men naar aanleiding van de QR voor Adolf Hitler.
Men dacht geloof ik dat ze uit Polen of Frankrijk gejat waren.
En waarom zit op dat webportal geen 2FA... ?
Het argument wat ik het meeste heb gehoord hierover
tweestaps authenticatie is ververlend pfff...
paar jaartjes in de Cybersecurity gezeten en dan inderdaad 2FA verkoop...

Je zin vat echt goed samen hoe de gemiddelde werknemer erover denkt :+ en dat is eigenlijk de grootste hurdle die een CISO moet nemen en dan bij voorkeur zo goedkoop mogelijk.

Het is wel aan het veranderen de laatste paar jaar.
Tegenwoordig is het zelfs 4FA

1: moet inloggin in VPN werk met 2FA
2: Om vervolgens de gateway naar klanten weer met wachtwoord en 2FA, dit terwijl we enkel toegang hebben als we op VPN zitten en hat SSO heeft.

Maar goed het moet allemaal maar.
Een wachtwoord om bij mij wachtwoorden te kunnen, om vervolgens bij mij MFA te kunnen, om vervolgens met die 2 een VPN verbinding op te kunnen zetten. Om vervolgs mijn SSH key te unlocken. En weer een wachtwoord om iets op het systeem te mogen.

Nee het wordt niet gemakkelijker.😁
nou ja, op zich is 't toch ook irritant, 't zou veel makkelijker/sneller zijn als je maar 1-factor, of überhaupt niet, in zou hoeven te loggen

En daar zitten uiteraard wat nadelen/risico's aan ;)
Gewoon invoeren die handel tijdens het weekend. Op maandag ochtend komen er enkele klagen maar binnen de week ben je daar ook weer van af.
waarom hangt het aan het internet?
Helaas ben ik geen developer, echter de discussie op Github lijkt toch te wijzen dat de sleutels wel degelijk gestolen zin (hoor ik van iemand die in hackers scene zit) Hier is de discussie:
https://github.com/ehn-dc...discussioncomment-1554849

Wellicht is men niet blij en probeert men de feiten onder het tapijt te vegen.
Maar dan pak je je corona scanner en je scant die qr... Zie je direct toch of het groen word?
Het verhaal loopt inmiddels al wel wat verder. Iemand claimt de private keys voor alle landen te hebben. Als bewijs is er nu ook een QR voor spongebob bijvoorbeeld :+
https://twitter.com/Xiloeee/status/1453493664806735876
Ze zeggen dan ook dat ze niet *gestolen* zijn. :+ (Wat er dan wél mee is gebeurd... :P) Maar zijn dit niet gewoon codes uit dezelfde bron als die de Adolf Hitler code had aangemaakt? Zo ja, dan zou dát lek opgelost moeten zijn.

[Reactie gewijzigd door WhatsappHack op 28 oktober 2021 16:05]

Lijkt op slechte beveiliging bij het aanmaken als ik het draadje zo lees.
Zo te zien wel, en alle codes werken ook niet meer.
Verbaasd mij niks. Het grappige bij dit soort berichten is dat er allerhand aannames zijn over slechte beveiliging, terwijl dit gewoon een domme menselijke fout is :-) Ok, je zou dit slechte menselijke beveiliging kunnen noemen. Ik kom nog regelmatig handleidingen bij bedrijven tegen, waarbij domweg de credentials vermeld staan, ipv. een verwijzing naar een password-manager. Dan kun je nog zoveel fancy security hebben, de grootste veiligheidslek zit nog steeds achter een toetsenbord.
Hmm, kreeg op 1 oktober van iemand het bericht dat de key gelekt was. Achteraf had ik misschien moeten door vragen.
Dat maakt deze clusterF*** nog interessanter ja!
Dat vermoeden had ik al een beetje, private keys zijn vrij goed te beveiligen met iets als een HSM waarbij ze die nooit hoeven te verlaten voor het gebruik ervan, ik neem aan dat dergelijke dingen wel worden ingezet voor dit soort operaties.
Stop maar gelijk met die coronacheck app a.u.b. laatste 3 restaurants die ik heb bezocht deden ze niet aan coronacheck.
Anoniem: 428562
@Pas_PC28 oktober 2021 19:26
Gaat nog wel veranderen, er zijn inmiddels system te koop die een automatische deur combineren met een QR reader, zonder pas gaat de deur niet open.


https://biora.nl/product/...-als-optie-display-bio8t/

Automatische toegangssysteem met QR code scanner voor Covid paspoort en of testen en temperatuur meting en met warmte beeld camera, c.q. automatische koortsmeter. Tevens mogelijkheid voor controle op het dragen van de verplichtte mondmaskers.
Dat is dus een QR check zonder controle van het ID. Daar kom je dus met elke willekeurige code binnen. Bovendien als de deur van het restaurant open is dan loopt toch na de eerste de hele rest van het restaurant ook door? Vrij zinloos.
Gezien de maatregelen van tijdelijke aard zijn, lijkt het me goedkoper en effectiever om gewoon handmatig aan de deur te controleren. ;)
Gaat in Nederland nooit gebeuren. Maar je moet wel wat merendeel van de ongevaccineerde heeft een valse QR code
De temperatuur opnemen van winkelbezoekers is hier bij wet verboden. Dat is namelijk een medisch gegeven.
Anekdotisch bewijs

Overigens volgt hier niet uit, zelfs als jouw anekdote gelijk staat aan de gehele realiteit, dat je dan de app weg doet. De app werkt, de implementatie en gebruik moet anders.
Zo zo, crimineel. Voorheen heette dat hacker dacht ik. Maar dat is natuurlijk afhankelijk van de ideologie die je aanhangt en van de mate van psychologische gedragsbeïnvloeding dat je wilt bewerkstelligen als medium zijnde.
Dat die mensen ook maar gewoon criminelen worden genoemd. Deze mensen heb je nodig om dit soort wangedrag van een developer, want dat is het gewoon, te vinden en te verbeteren. Maar ja, de wereld noemt crackers hackers en alles over een kam.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee