Datalek bij Testcoronanu
Afgelopen weekend werd door RTL Nieuws bekendgemaakt dat er sprake was van een datalekEen storing in de beveiliging van een computersysteem. Een gevolg hiervan kan zijn dat gegevens worden veranderd, deze verloren gaan of bij verkeerde personen terechtkomen.... bij het testbedrijf Testcoronanu. Hierdoor waren niet alleen de privégegevens van ruim 60.000 mensen voor iedereen toegankelijk, maar was het ook mogelijk om de uitslagen van coronatests (en daarmee reis- en toegangsbewijzen) te vervalsen.
Wat is er gebeurd?
Het bedrijf maakte gebruik van het databasesysteem Firestore. De database van Testcoronanu was binnen dit platform niet afgeschermd, waardoor iedereen met een accountEen account is een stukje van een digitaal systeem waartoe een gebruiker toegang heeft. Bij een account hoort informatie over de gebruiker, zoals persoonlijke gegevens,... op de site toegang kon krijgen tot de volledige database met testuitslagen. Hierdoor was het dus ook mogelijk om de gegevens in te zien van alle mensen die in Nederland en België een coronatest hebben gedaan bij Testcoronanu. De database bevatte volledige namen, geboortedata, woonadressen, telefoonnummers, e-mailadressen, paspoortnummers, bsn’s en medische gegevens, waaronder de testuitslagen.
Daarnaast bleek het, volgens het onderzoek van RTL Nieuws, voor iedereen mogelijk om zelf een naam met een negatieve testuitslag toe te voegen aan de database. Je kon hierbij kiezen welke test er zogenaamd was gebruikt (pcr of antigeen) en op welke datum de test was uitgevoerd. Deze valse testuitslagen konden vervolgens worden misbruikt om reis- en toegangsbewijzen in de app CoronaCheck te bemachtigen.
Wat zijn de gevolgen?
Inmiddels heeft de Nederlandse overheid het uitvoeren van tests en verstrekken van toegangsbewijzen via Testcoronanu per direct gestopt. Het is niet meer mogelijk om de gegevens in te zien of de testuitslagen te vervalsen. Wel kunnen de gevolgen van de gelekte persoonsgegevensGegevens die verwijzen naar een persoon. Met deze gegevens kan men vaststellen wie iemand is. Bijvoorbeeld naam, adres, nummer van het paspoort. uit de database nog steeds groot zijn. De gegevens kunnen namelijk verhandeld worden door internetcriminelen, die ze vervolgens bijvoorbeeld misbruiken voor phishingcampagnes, het hacken van accounts, identiteitsfraudeVorm van bedrog waarbij iets of iemand zich voordoet als iemand anders. Bijvoorbeeld spullen huren met de paspoortgegevens van iemand anders. Of iemands inloggegevens gebruiken... en andere vormen van online fraude.
Met name door het grote aantal datalekken die in de laatste maanden hebben plaatsgevonden, is het makkelijker voor kwaadwillenden om veel actuele informatie in te winnen over personen. Het combineren van die informatie zorgt voor veel mogelijkheden om specifieke personen (online) lastig te vallen.
Bovendien, wanneer cybercriminelen door middel van datalekken over verschillende informatie over jou beschikken, kunnen ze zich nog geloofwaardiger voordoen bij gerichte phishingPhishing is een type cyberaanval waarbij een cybercrimineel, meestal via e-mail, sms of andere berichtendiensten, contact met je opneemt met het doel je persoonlijke informatie..., spoofingIemand misleiden door te doen alsof je iemand anders bent. Er zijn veel soorten spoofing. Een aanvaller kan zich in een email voordoen als een... of andere vormen van online fraude. Denk bijvoorbeeld aan een e-mail, Whatsapp-bericht of sms waar jouw daadwerkelijke volledige naam, wachtwoordReeks van letters, cijfers en of andere karakters waarmee een gebruiker in een computersysteem kan komen. Het is de bedoeling dat een gebruiker dit wachtwoord... en adres in vermeld wordt. Zulke informatie kan ervoor zorgen dat je wellicht eerder geneigd bent om te klikken, een bedrag te betalen of bijvoorbeeld jouw gegevens via een link in te vullen.
Wat kun je doen?
Volgens RTL Nieuws zou het testbedrijf de getroffen klanten vandaag nog informeren over de gelekte gegevens. Wij willen je in ieder geval de volgende tip meegeven:
Wees alert voor phishing en fraude
Wij adviseren iedereen om waakzaam te zijn voor phishingPhishing is een type cyberaanval waarbij een cybercrimineel, meestal via e-mail, sms of andere berichtendiensten, contact met je opneemt met het doel je persoonlijke informatie... en fraude via bijvoorbeeld een telefoontje, e-mail, WhatsApp-bericht of via een sms. In de onderstaande artikelen geven we tips voor het herkennen van phishingPhishing is een type cyberaanval waarbij een cybercrimineel, meestal via e-mail, sms of andere berichtendiensten, contact met je opneemt met het doel je persoonlijke informatie... en fraude:
- Wat zijn veelvoorkomende vormen van digitale oplichting en fraude?
- Wat is WhatsApp-fraude en hoe herken je het?
- Hoe herken je phishing en hoe ga je ermee om?
- Wat is social engineering en hoe kun je het herkennen?