Pentest legde lek bij Testcoronanu niet bloot

Na de melding van RTL Nieuws is het testbedrijf afgesloten van de systemen van het ministerie van VWS. Om gekoppeld te worden aan de CoronaCheckApp moeten bedrijven allerlei documenten aanleveren waaruit blijkt dat ze aan de hoogste dataveiligheids- en privacyeisen voldoen. Onder andere het doorstaan van een pentest maakt deel uit van die eisen. Het ministerie laat aan RTL Nieuws weten dat uit een pentest deze kwetsbaarheid had moeten blijken.

Toegang via frontend

Het testbedrijf maakt gebruik van de database Firestore van Google. Die database communiceerde direct met de frontend van de website, aldus techjournalist Daniël Verlaan die het lek blootlegde. Het was mogelijk om vanuit de browser direct de database te raadplegen. In die database stonden gegevens van alle mensen die een test hadden gedaan bij dit bedrijf. Het gaat om mailadressen, woonadres, telefoonnummers, BSN-nummers en paspoortnummers.

Naast het inzien van deze gebruikersgegevens wist Verlaan ook de gegevens aan te passen. Kinderlijk eenvoudig, noemde hij het. Door 2 regels code in de browser in te voeren, kon je je eigen negatieve testresultaat toevoegen. Daarna vul je zelf de juiste gegevens in en krijg je vervolgens een geldig bewijs in de CoronaCheck-app. Met dit bewijs kun je dus toegang krijgen tot evenementen of permissie om te reizen naar het buitenland.