Privacywaakhond onderzoekt mogelijk beveiligingslek bij CovidScan-app, 39.000 potentiële slachtoffers
De Gegevensbeschermingsautoriteit GBA onderzoekt een mogelijk beveiligingslek bij het valideren en lezen van Covid Safe Tickets via de CovidScan-applicatie. Dat meldt de GBA zelf. Mogelijk zijn er 39.000 personen getroffen.
Het Covid Safe Ticket geeft u toegang tot bepaalde evenementen, en binnenkort ook tot de horeca in Brussel. Het ticket wordt rechtstreeks via de aparte CovidScan-applicatie gelezen en gevalideerd. Wie gevaccineerd is, recent negatief heeft getest of hersteld is van een besmetting, krijgt via zijn QR-code een groen scherm. Wie dat niet is, krijgt een rood scherm en moet de toegang geweigerd worden.
Het probleem situeert zich bij een gecodeerde lijst, zegt de Gegevensbeschermingsautoriteit. Volgens Le Soir gaat het om een lijst van mensen die wel gevaccineerd zijn, maar toch het coronavirus hebben opgelopen en positief hebben getest. Hun coronacertificaat is dus opgeschort, en om te weten om wie het gaat, raadpleegt de app online een lijst waarop die personen staan. Die zogenaamde ‘suspension list’ is gecodeerd, maar kan via een sleutel die zich in de CovidScan-app bevindt, toch uitgelezen worden.
“In deze fase van het scanproces van het Covid Safe Ticket werd door een burger een potentiële beveiligingsfout opgemerkt”, zegt de GBA in een persmededeling. Het gaat om Guillaume Derval, informaticus bij de universiteit van Louvain-la-Neuve. Derval slaagde erin de beveiligingssleutel te gebruiken om de gecodeerde lijst zelf te kunnen lezen. Op die manier is het dus ook voor hackers in theorie mogelijk om te controleren welke gevaccineerde personen op welk moment toch positief hebben getest, terwijl gezondheidsgegevens de hoogst mogelijke vorm van privacy zouden moeten genieten.
Bug
De lijst is pas toegevoegd aan de CovidScan-app, aangezien ze zelf de oplossing is voor een bug die nog maar enkele weken geleden aan het licht kwam. Daarvóór had men nooit gedacht aan de mogelijkheid dat gevaccineerden toch nog besmet zouden raken en dus een rood in plaats van een groen scherm zouden moeten krijgen. Wanneer een gevaccineerde nu positief test, wordt hij aan de lijst toegevoegd, en de Covidscan-app controleert de lijst regelmatig op updates.
“De Gegevensbeschermingsautoriteit neemt dit zeer ernstig, gezien de bijzonder gevoelige aard van gezondheidsgegevens”, klinkt het nog. De GBA zal de zaak verder opvolgen, maar kan geen verdere commentaar geven of er een onderzoek is opgestart, en wat er in tussentijd met de CovidScan-app moet gebeuren. Volgens onze informatie is het lek op dit moment ook nog niet gedicht.
Lees ook
Geselecteerd door de redactie
