De Infectieradar van het RIVM heeft te maken gehad met een datalek. Sinds de introductie ervan op 17 maart zijn medische gegevens van deelnemers gelekt, alsmede e-mailadressen, geboortejaren en cijfers van postcodes. Aan Infectieradar namen ongeveer 60.000 mensen deel.
Nadat het RIVM een melding had ontvangen dat privacygevoelige informatie door derden was in te zien, is de database direct offline gehaald. Het instituut heeft dit afgelopen zaterdagmiddag bekendgemaakt via zijn eigen website.
Online formulier
Het RIVM monitorde de verspreiding van het coronavirus via onder meer de website Infectieradar. Deelnemers vulden éénmaal per week in of zij de afgelopen zeven dagen koorts hadden gehad, of andere gezondheidsklachten. Bij het aanmelden voor de Infectieradar dienden zij uiteenlopende medische gegevens in te voeren in een online formulier, waaronder het gebruik van medicijnen (en waarvoor), of ze allergieën hadden, rookten of zwanger waren.
Insecure Direct Object Reference
Deze informatie was voor derden toegankelijk. Alle deelnemers kregen een uniek nummer van acht cijfers dat ze in de adresbalk van de browser moesten invullen. Echter, door een ander nummer in te voeren, was het mogelijk om de gegevens van iemand anders te bekijken. Dit beveiligingslek staat bekend onder de naam Insecure Direct Object Reference (IDOR). Omdat de ingevulde formulieren elke dag werden verwijderd, was het volgens het RIVM niet mogelijk om formulieren van langer dan een dag geleden te downloaden.
Klik hier voor het bericht van het RIVM over het datalek.