Datalek U-Diagnostics

Digitaal
Veiligheid
U-Diagnostics
Update 7 februari 2021 13:05 uur

Datalek slot-verklaring door de directie van U-Diagnostics Holding BV / HealthCheckCenters BV
Klik hier voor de volledige datalek slot-verklaring.

Samenvatting:

  • De onderzoekingen en systeemverbeteringen zijn inmiddels afgerond. 

  • Tesorion rapporteert; ‘Vanuit de black- en grey-box penetratietest zijn geen kwetsbaarheden aangetroffen waaruit blijkt dat het mogelijk is om een technische kwetsbaarheid aan de buitenkant van het portaal te misbruiken om ongeautoriseerd toegang te verkrijgen.’ 

  • Het door Nieuwsuur gewraakte gebruik van een WhatsApp Groep voor interne communicatie is beëindigd. De WhatsApp Groep is opgeheven en verwijderd. 

  • Er zijn diverse extra beveiligingsmaatregelen getroffen die ongeautoriseerd gebruik van het door HealthCheckCenters gebruikte Covid-19 portaal feitelijk onmogelijk maakt.

Update 30 januari 2021 16:05 uur

Cyber-Security expert Tesorion brengt tussen-rapportage uit:

Inzake de naleving van de AVG rapporteert Tesorion:

‘Uit de voorlopige resultaten blijkt HCC (HealthCheckCenters) volledig in de geest van de AVG te handelen.’

Inzake het onderzoek naar het publiek bereikbare webportaal rapporteert Tesorion:

‘Op basis van dit onderzoek bleek het niet mogelijk voor derden om ongeautoriseerde toegang te verkrijgen tot het webportaal.’

Klik hier voor de volledige tussen-rapportage.

Update 30 januari 2021 15:05 uur

U-Diagnostics Holding BV / HealthCheckCenters BV hebben het bedrijfsrecherche en risicomanagement bureau Secure Advance (www.secureadvance.nl) opdracht gegeven te onderzoeken wie moedwillig en ongeautoriseerd Nieuwsuur inzage heeft gegeven in interne communicatie systemen en het door HealthCheckCenters gebruikte Covid-19 test-afmeld portaal.

Update 27 januari 2021 17:47 uur

HealthCheckCenters zetten Responsible Disclosure spelregels online: www.healthcheckcenters.nl/responsibledisclosure

Update 26 januari 2021 11:10 uur

Klik hier voor het PERSBERICHT ‘HealthCheckCenters steekt collega’s bij GGD hart onder de riem’

Update 23 januari 2021 08:49 uur

HealthCheckCenters hebben de beveiliging van het Covid-19 test-afmeld platform door implementatie van een zogenaamde ‘two-factor identification’ verder opgevoerd. Daarmee zijn alle van diverse deskundigen ontvangen aanbevelingen ter verbetering van de interne beveiliging opgevolgd.

Naast de hierboven beschreven maatregelen hebben U-Diagnostics Holding BV / HealthCheckCenters BV het CyberSecurity bureau Tesorion opdracht gegeven de toegankelijkheid van het door HealthCheckCenters gebruikte Covid-19 test-afmeld platform te toetsen.

Tesorion is een Nederlandse cybersecurity expert met 160 experts. Binnen het Microsoft Active Protections-programma (MAPP) is Tesorion de enige partner uit continentaal Europa die de status van Threat Indicator Top Contributor heeft bereikt.

Tesorion rapporteerde 22 januari om 19:30 uur als volgt:

‘Geen direct technische uit te buiten kwetsbaarheden gevonden

De eerste onderzoeksresultaten lijken erop te duiden dat bij het verkrijgen van toegang tot de betreffende data, geen sprake is geweest van technische, maar van procedurele zwakheden. Het door derden toegang verkrijgen tot het webportaal lijkt, op basis van de huidige testresultaten, niet mogelijk zonder in het bezit te zijn van de noodzakelijke inloggegevens. Er is een zogeheten blackbox penetratietest uitgevoerd op de publiek bereikbare webapplicatie en daarbij zijn geen direct uit te buiten kwetsbaarheden gevonden.

Klik hier voor de reactie van Tesorion op basis van de voorlopige resultaten

U-Diagnostics Holding BV / HealthCheckCenters BV zullen in de toekomst gebruik blijven maken van de diensten van Tesorion om er van verzekerd te zijn dat gebruik van haar ICT-systemen door onbevoegden tot het uiterste bemoeilijkt c.q. onmogelijk gemaakt zullen worden.

Update 22 januari 2021 12:33 uur

U-Diagnostics Holding BV / HealthCheckCenters BV sturen brief met toelichting op gang- en stand van zaken inzake vermeend datalek aan opdrachtgevers. De brief kan via deze link bekeken worden.

Update 22 januari 2021 07:37 uur

U-Diagnostics Holding BV / HealthCheckCenters BV hebben direct na de melding door Nieuwsuur het bewuste Covid-19 test afmeld portaal off-line gehaald en vóórdat dit weer in gebruik is genomen de beveiliging aangescherpt tot het juiste niveau.

Nieuwsuur heeft de door haar gesignaleerde ‘slechte beveiliging’ van de data geëtaleerd en de rechtsgeldigheid van gegevens-uitwisseling in een WhatsApp groep aan de kaak gesteld. 

Er zijn tot dusver geen aanwijzingen dat mensen buiten onze onderneming kennis hebben genomen van de gegevens, laat staan dat ‘de data op straat’ zou liggen.
Nieuwsuur laat weten slechts ‘inzage’ te hebben gehad en ‘getoetst’ te hebben en de data ‘
met niemand’ gedeeld te hebben.

Zie hiervoor uit de ‘Verantwoording werkwijze’U-Diagnostics onderzoek’ van Nieuwsuur
(
https://nos.nl/nieuwsuur/artikel/2365410-verantwoording-werkwijze-u-diagnostics-onderzoek.html)

Persoonlijke en medische informatie van ten minste tienduizenden mensen die zich lieten testen op corona bij U-Diagnostics zijn niet goed beveiligd, blijkt uit onderzoek van Nieuwsuur.

Het gaat om gevoelige persoonsgegevens en medische gegevens, die zijn gedeeld in een WhatsApp-groep met 300 leden en toegankelijk waren in een slecht beveiligde database. Volgens experts is er sprake van een datalek en wordt de privacywetgeving hiermee overtreden.

In de WhatsApp-groep worden ook inloggegevens gedeeld van het systeem waarin gewerkt wordt. Mede aan de hand van die gegevens kan iedere buitenstaander als hij dat wil op eenvoudige wijze in de database van U-Diagnostics komen. Nieuwsuur heeft dat getoetst. Er was voor ons geen zichtbare extra beveiliging aanwezig.

Nieuwsuur is uiteraard met grote terughoudendheid te werk gegaan en heeft enkel in het kader van het maatschappelijk belang onderzoek gedaan. De gegevens zijn verder met niemand gedeeld. Kort hierna hebben we het bedrijf ingelicht en de tijd gegeven om intern onderzoek te doen en met een reactie te komen.

Update 21 januari 2021 23:45 uur

U-Diagnostics Holding BV / HealthCheckCenters BV hebben het CyberSecurity bedrijf Tesorion ingehuurd om de gebruikte ICT-systemen door te lichten en waar nodig en noodzakelijk met aanvullende beveiliging-adviezen te komen. U-Diagnostics Holding BV / HealthCheckCenters BV zullen de bevindingen van Tesorion met haar medewerk(st)ers en andere betrokkenen delen.

21 Januari 2021 PERSBERICHT inzake vermeend datalek HealthCheckCenters

U-Diagnostics Holding BV / HealthCheckCenters verbeteren cybersecurity na tip journalist Nieuwsuur en doen aangifte van ‘digitale huisvrede breuk’.

Gisteren, woensdag 20 januari 19:18 uur zijn wij door het TV programma Nieuwsuur op een mogelijke ‘datalek’ in het door HealthCheckCenters gebruikte Covid-19 test afmeld portaal attent gemaakt.

Het lijkt op een in oktober 2020 bij de GGD’s ontdekt datalek.

Er is door ons melding gemaakt van het vermeende datalek bij de Autoriteit Persoonsgegevens.

De daartoe overigens niet gemachtigde journalist van Nieuwsuur stelt inzage te hebben gehad in een tussen medewerk(st)ers van HealthCheckCenters gebruikte WhatsApp-groep waarin o.a. op enig moment inloggegevens tot het door HealthCheckCenters gebruikte Covid-19 test afmeld portaal uitgewisseld zijn.

Dat zou ertoe geleid kunnen hebben dat daartoe niet bevoegden enige tijd inzage hebben gehad tot met name de bij de aanmeldprocedure opgevraagde persoonsgegevens. De database met medische gegevens waaronder de Covid-19 test-uitslagen is separaat geborgd en niet toegankelijk voor buitenstaanders en/of medewerk(st)ers

Waar sprake is van gevaar dat privacy-gevoelige gegevens ongeoorloofd en ongeautoriseerd zijn of dreigen te worden gedeeld is terstond actie ondernomen om dit te stoppen. De gebruikelijke toegang tot het Covid-19 test afmeld portaal is direct onmogelijk gemaakt en aangescherpt. De HCC Medewerk(st)ers WhatsApp groep is inmiddels opgeheven, men zal voor interne communicatie van andere systemen gebruik gaan maken.

Wij zullen een en ander grondig (verder) onderzoeken en hebben inmiddels de assistentie ingeschakeld van experts in digitaal forensisch onderzoek, om de exacte omvang van het data lek te kwantificeren en om onze organisatie van advies te voorzien de reeds genomen maatregelen te evalueren en te adviseren over welke verdere maatregelen verder genomen dienen te worden.

Tevens nemen wij momenteel contact op met organisaties en personen die eventueel getroffen zijn door deze situatie. Personen die menen hierdoor getroffen te zijn kunnen contact met ons opnemen.

De directie van U-Diagnostics Holding BV / HealthCheckCenters BV betreurt de gang van zaken en verzekert alles in het werk te stellen om herhaling van het voorgevallene te voorkomen.

Baarn, 21 januari 2021