Selecteer een pagina

Misbruik lekken in NL-Alert-app is volgens minister niet uit te sluiten

Het is technisch gezien niet uit te sluiten of iemand datalekken in de NL-Alert-app heeft misbruikt. Dat meldt minister Ferd Grapperhaus van Justitie en Veiligheid in een Kamerbrief.

Met behulp van een unieke gebruikerscode die te vinden was in de NL-Alert-app, kon de actuele locatie van een appgebruiker achterhaald worden. Die informatie zou gebruikt kunnen worden om iemand te volgen.

Volgens de privacywet moeten gegevens goed beveiligd zijn, onder meer door te voorkomen dat Jan en alleman er toegang tot heeft. Het bijhouden van een logboek is niet verplicht, maar volgens de Autoriteit Persoonsgegevens (AP) in de meeste gevallen wel noodzakelijk.

“Door de logbestanden regelmatig te controleren of automatisch te analyseren, kunt u bijvoorbeeld inbreuken op de beveiliging ontdekken. Ook kunt u datalekken signaleren. Of juist uitsluiten dat er een datalek is geweest”, aldus de toezichthouder.

Grapperhaus erkent dat de beveiliging van de NL-Alert-app “boven elke twijfel verheven” moet zijn. Hoewel misbruik niet technisch uit te sluiten is, wijst de minister er in de brief wel op dat iemand toegang moest hebben tot de smartphone van het beoogde slachtoffer. Ook was de kwetsbaarheid niet publiek bekend, wat de kans op misbruik verkleint.

Zowel de eerste als de tweede kwetsbaarheid is in de meest recente versie van de NL-Alert-app verholpen. De update maakt de app echter onbruikbaar.

Minister Grapperhaus adviseert gebruikers om de app te verwijderen. De reguliere NL-Alert wordt via een technische variant op sms verstuurd en is niet afhankelijk van een app.

Officiële NL-Alert-app blijkt eind april ook locatiegegevens gelekt te hebben

De officiële NL-Alert-app blijkt eind april locatiegegevens van gebruikers gelekt te hebben. Donderdag kwam al aan het licht dat de app per abuis privégegevens doorstuurde naar de verwerker van de pushnotificaties. Het ministerie van Veiligheid en Justitie schreef aan de Tweede Kamer dat het advies is om de app te deïnstalleren.

De app verwerkt de locatiegegevens om gebruikers waarschuwingsmeldingen te versturen die zijn gebaseerd op de plek waar ze zijn. Die locatie-informatie werd echter niet afgeschermd verstuurd. Daardoor zou bijvoorbeeld een boze ex of jaloerse partner tot op de minuut kunnen achterhalen waar iemand uithangt.

Het ministerie benadrukt dat er geen aanwijzingen zijn dat iemand het lek daadwerkelijk heeft misbruikt.

De NL Alert-app staat los van de dienst NL-Alert, en biedt aanvullende functionaliteit. Sinds de app begin maart werd gelanceerd, is hij 58.000 keer geïnstalleerd.

Het nieuwe beveiligingsprobleem staat daar los van, en werd niet genoemd in een brief aan de Tweede Kamer. “Dit nieuwe lek had natuurlijk ook in de Kamerbrief moeten staan”, zegt D66-Kamerlid Kees Verhoeven. “Dit niet melden suggereert toch dat je niet wil dat het bij het grote publiek bekend wordt.”

Achterhalen

Voor het achterhalen van iemands locatie moest eerst een uniek nummer worden achterhaald. Wie dat unieke nummer kende, kon vervolgens ongemerkt iemands huidige locatie achterhalen, op ongeveer tien meter nauwkeurig.

Corona-app

Het nieuws over de NL-Alert-app komt voor de overheid op een ongelukkig moment: er wordt gewerkt aan een app die moet helpen om corona-besmettingen op te sporen. “Dit raakt aan die discussie”, zegt Kamerlid Verhoeven van coalitiepartij D66. Ook bij de corona-app gaat het immers om in potentie privacygevoelige gegevens die worden verwerkt.

Twee weken geleden kwam aan het licht dat zeven apps die in de running waren als ‘corona-app’ slecht in elkaar zaten. De apps waren nog in de ontwikkelfase, maar waren niet goed beveiligd en slecht geprogrammeerd.