De corona-app die inwoners van Qatar verplicht moeten gebruiken, bevatte tot afgelopen vrijdag een lek. Met behulp van deze app is het mogelijk om met een Qatarees BSN-nummer een QR-code op te vragen met persoonlijke medische informatie.
Het onderzoekslab van Amnesty International kwam erachter dat, zonder extra authenticatie, willekeurige persoonsnummers ingevoerd kunnen worden. Deze nummers werken met een vaststaand formaat, zodat het eenvoudig is om privédata op te vragen.
Centrale database
De onderzoekers konden zich op deze manier toegang verschaffen tot namen van personen, hun corona-status, de locatie waar ze in isolatie zitten en het ziekenhuis waar ze worden behandeld. De Nederlandse app functioneert echter anders. De app van Qatar maakt gebruik van een centrale database en werkt behalve met bluetooth met gps-locaties. Bij de Nederlandse corona-app is het de bedoeling dat de data op de Nederlandse app blijven en alleen bluetooth gebruikt wordt.
Verplicht
Amnesty informeerde vorige week donderdag de Qatarese autoriteiten over de kwetsbaarheid. Een dag later konden volgens de NGO geen namen en locatiedata meer opgevraagd worden. Afgelopen zondag is er een extra beveiligingslaag toegevoegd, maar Amnesty kan vooralsnog niet aangeven of deze aan alle standaarden voldoet. De mensenrechtenorganisatie heeft laten weten “erkentelijk” te zijn voor de snelheid waarmee het probleem is verholpen. Tegelijkertijd wijst Claudio Guarnieri van Amnesty op de ernst van het probleem: “De zwakheid is vooral zorgelijk, omdat de app sinds afgelopen vrijdag verplicht is.”