De site Infectieradar, waar Nederlanders kunnen doorgeven of ze de afgelopen week coronaklachten hebben gehad, bevatte een ernstig datalek. Iedereen met enige technische vaardigheid kon tot vanmorgen zien wat andere deelnemers antwoordden op persoonlijke en medische vragen.
Dat blijkt uit onderzoek van de NOS in samenwerking met beveiligingsonderzoeker Tom Wolters. “Het was heel eenvoudig om data van andere mensen uit te lezen”, aldus Wolters.
Na melding door de NOS heeft het RIVM de vragenlijsten zaterdagochtend uit de lucht gehaald. “We zijn het probleem nu aan het oplossen. Het gaat om een lek in externe software”, laat een woordvoerder weten. Aanmelden kan nog wel, maar wanneer het invullen van vragenlijsten weer mogelijk is, is niet bekend.
Het lek bestond al sinds de introductie van Infectieradar op 17 maart. “Maar we leegden de nieuw ingevulde formulieren wel elke dag”, zegt de RIVM-woordvoerder. Wie het lek dus pas vandaag ontdekte, kon de formulieren van langer dan een dag geleden niet meer downloaden.
Maar wie er op 17 maart achterkwam, zou sindsdien de tienduizenden aanmeldingen hebben kunnen inzien. Of dat is gebeurd, is niet bekend.
Medische vragen
Zo’n 60.000 Nederlanders doen mee aan Infectieradar, waarmee het RIVM in de gaten wil houden hoe het coronavirus zich verspreidt. RIVM-directeur Jaap van Dissel riep mensen deze week op om zich te blijven aanmelden; het liefst zou hij 100.000 aanmeldingen zien.
Deelnemers geven bij hun aanmelding antwoord op medische vragen, zoals of ze zwanger zijn, waarvoor ze medicijnen gebruiken, of ze roken en of ze allergieën hebben. Ook geven ze eenmaal per week door of ze corona-gerelateerde klachten hebben. Maar het formulier waarmee al die informatie wordt doorgegeven, bleek dus niet beveiligd.
