I helgen avslørte nederlandske RLT Nieuws at hvem som helst kunne forfalske koronasertifikater på enkelt vis.
Det krevde ikke mer enn en nettleser og to kodelinjer. Årsaken skal være en usikret Google Firebase-database med testresultater fra det private helseforetaket Testcoronanu.
Testcoronanu er betalt av staten for å tilby hurtigtester 10 steder i Nederland og 3 steder i Belgia. Etter avsløringene er selskapets virksomhet stengt av helsemyndighetene.
Nettstedet er også nede med en melding hvor de blant annet informerer at lekkasjen er meldt til det nederlandske datatilsynet.
Daniël Verlaan er journalisten i RTL Nieuws bak avsløringene. Han utdyper på Twitter hvor enkelt det var å foreta kall mot den eksponerte databasen.
Het lek deed zich voor bij Testcoronanu, dat tien locaties in Nederland en drie in België heeft. Het bedrijf heeft ruim 60.000 klanten.
De frontend van de website communiceert direct met Googles database Firestore. En je kan dus vanuit de browser direct de database raadplegen. pic.twitter.com/fMHd0frpWL
– Daniël Verlaan (@danielverlaan) July 18, 2021
Datalekkasje med 60.000 berørte
Uvedkommende kunne legge inn falske oppføringer i den eksponerte databasen, også helt uten selv å ha blitt testet. Det var ifølge RTL også mulig å hente ut eller manipulere 60.000 ekte testresultater.
For eksempel ved å endre fra negativt til positivt svar, eller ved å endre på dato for testen, slik at testen ikke lenger er gyldig.
Ved å manipulere innholdet i databasen, skal det ha vært mulig å skape falske koronasertifikater som dukket opp i den nederlandske koronaappen.
Testcoronanu har møtt de «strengeste krav» for å koble seg til landets covid-19-app, og foretakets datasikkerhet skal nå undersøkes nærmere. Det fremgår av en uttalelse fra helsemyndighetene i landet, ifølge Euronews.
– Vi understreker at den alvorlige sårbarheten som er funnet bare berører én av testtilbyderne som er koblet til Coronacheck, og at det ble gjort tiltak umiddelbart. Sikkerheten og påliteligheten til Coronacheck-appen ble ikke kompromittert, sier myndighetene videre.
Bert Niesters, som er virolog og professor i mikrobiologi ved universitetet i Groningen, mener på sin side at det nederlandske koronasertifikatet (mobilappen Coronacheck) har mistet all troverdighet.
– Det var allerede mangler ved måten denne appen ble brukt til å gi adgang i døra. Og nå som Delta-varianten av viruset fører til en kraftig smitteøkning er det helt uansvarlig å bruke denne appen til arrangementer hvor det ikke er mulig å holde halvannen meters avstand. Appen er helt verdiløs, tordner Niesters til RT-kanalen.
IT-gründeren er fornøyd med at selskapet hans ikke lenger eies av blomsterkjede
Gir fri passasje til Norge
Alle med gyldig koronasertifikat kan reise fritt inn i Norge. Da slipper man både karantene, test før ankomst, test på grensen og krav til å registrere seg ved innreise. Det kunne den norske regjeringen meddele 1. juli 2021.
Ifølge kunngjøringen har alle EU/EØS-land forpliktet seg til å akseptere koronasertifikat som bevis på gjennomgått sykdom, vaksinering eller negativ test ved reiser.
I Norge så vel som andre europeiske land har myndighetene overlatt testingen av uvaksinerte og friske som trenger grønt koronasertifikat til private tilbydere.
Overvåkningsselskap: Nekter å bruke Google-mobiler: – Betydelig sikkerhetssårbarhet