De officiële NL-Alert-app, waarvoor het ministerie van Justitie en Veiligheid gisteren al waarschuwde vanwege een privacyprobleem, bevatte recent nog een ander beveiligingslek. Daarmee kon de locatie van andere gebruikers worden opgevraagd.
De app verwerkt die locatie om gebruikers waarschuwingsmeldingen te versturen die zijn gebaseerd op de plek waar ze zijn. Die locatie-informatie werd echter niet afgeschermd verstuurd. Daardoor zou bijvoorbeeld een boze ex of jaloerse partner tot op de minuut kunnen achterhalen waar iemand uithangt.
Het beveiligingsprobleem is eind april verholpen, meldt een bron die anoniem wil blijven aan de NOS. Het ministerie bevestigt het beveiligingsprobleem, maar benadrukt wel dat er geen aanwijzingen zijn dat iemand het lek daadwerkelijk heeft misbruikt.
De NL Alert-app staat los van de dienst NL-Alert, en biedt aanvullende functionaliteit. Sinds de app begin maart werd gelanceerd, is hij 58.000 keer geïnstalleerd.
Privégegevens
Donderdag kwam al aan het licht dat de app per abuis privégegevens doorstuurde naar de verwerker van de pushnotificaties. Het ministerie schreef aan de Tweede Kamer dat het advies is om de app te deïnstalleren.
Het nieuwe beveiligingsprobleem staat daar los van, en werd niet genoemd in een brief aan de Tweede Kamer. “Dit nieuwe lek had natuurlijk ook in de Kamerbrief moeten staan”, zegt D66-Kamerlid Kees Verhoeven. “Dit niet melden suggereert toch dat je niet wil dat het bij het grote publiek bekend wordt.”
Achterhalen
Voor het achterhalen van iemands locatie moest eerst een uniek nummer worden achterhaald. Wie dat unieke nummer kende, kon vervolgens ongemerkt iemands huidige locatie achterhalen, op ongeveer tien meter nauwkeurig.
