Kamerstuk
| Datum publicatie | Organisatie | Vergaderjaar | Dossier- en ondernummer |
|---|---|---|---|
| Tweede Kamer der Staten-Generaal | 2019-2020 | 29668 nr. 55 |
Authentieke versie (PDF)
Informatie
Gerelateerd
Printen
Delen
29 668 Beleidsplan Crisisbeheersing
26 643 Informatie- en communicatietechnologie (ICT)
Nr. 55 BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 6 mei 2020
Op 30 april jl. heb ik uw Kamer geïnformeerd1 over de melding die mijn ministerie heeft gedaan bij de Autoriteit Persoonsgegevens van een datalek in de app van NL-Alert. Via deze brief informeer ik uw Kamer daarnaast over een kwetsbaarheid waarover de dag na verzending berichtgeving in de media was. Ook ga ik in op de voortgang van het onderzoek naar het datalek.
Kwetsbaarheid
In de bijlage bij deze brief is een beschrijving te vinden van de betreffende op 23 april bij het Nationaal Cyber Security Centrum (NCSC) gemelde en op 28 april verholpen kwetsbaarheid. Omdat er mogelijk sprake zou kunnen zijn van een datalek waarvoor een meldingsplicht bestaat is daarover extern juridisch advies ingewonnen. Uit het juridisch advies dat op 24 april jl. is ontvangen, bleek dat dit niet het geval was.
Omdat er fysieke toegang tot het toestel van de gebruiker nodig was, gebruik van de kwetsbaarheid de nodige technische kennis vereist, de kwetsbaarheid niet publiekelijk bekend was en er geen indicaties zijn dat er misbruik is gemaakt van de kwetsbaarheid is de conclusie van het extern juridisch advies dat er geen sprake is van een meldingsplichtig datalek. Gelet op bovenstaande overwegingen en het feit dat de kwetsbaarheid op 28 april is verholpen, is deze niet aan uw Kamer gemeld. Naar aanleiding van berichtgeving in de media op 1 mei jl. over de betreffende kwetsbaarheid is het eerdergenoemde advies voor alle zekerheid voorgelegd aan de Landsadvocaat en deze komt tot dezelfde conclusie.
Omdat de informatiebeveiliging van de app boven elke twijfel verheven moet zijn met het oog op het gebruik door burgers en er zeker van te zijn dat de app geen kwetsbaarheden bevat, heeft mijn ministerie Fox-IT gevraagd als onafhankelijk expert de app door te lichten en mogelijke risico’s in kaart te brengen.
In het licht van het op 30 april gemelde datalek was het duidelijker geweest uw Kamer ook over de kwetsbaarheid te informeren.
Voortgang onderzoek datalek
Inmiddels zijn gebruikers van de app via de website van NL-Alert geïnformeerd over het datalek, waarbij het advies is gegeven de app te verwijderen. Dit advies is nog onverminderd van kracht. Om gebruikers te beschermen die de app niet verwijderd hebben, is sinds 1 mei jl. een update van de app beschikbaar die – na installatie op het toestel van de gebruiker – het datalek naar de externe dienst dicht. Uit cijfers blijkt dat inmiddels het overgrote deel van de gebruikers de app verwijderd of geüpdatet heeft.
Via de Landsadvocaat is de leverancier van de externe dienst meerdere malen gesommeerd medewerking te verlenen aan het dichten van en het onderzoek naar het datalek. Ook heeft de Landsadvocaat deze leverancier gesommeerd de al verzamelde data te vernietigen. Zoals toegezegd in de brief van 30 april zal ik uw Kamer over de uitkomsten van het onderzoek naar aard, omvang en impact van het datalek informeren.
De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus
Bijlage – Toelichting op de aangetroffen kwetsbaarheid
Chronologische schets kwetsbaarheid
Het Nationaal Cyber Security Centrum (NCSC) informeert op donderdagochtend 23 april het projectteam, dat verantwoordelijk is voor de ontwikkeling van de NL-Alert app, over een kwetsbaarheid in de app. Het projectteam bestaat uit medewerkers van mijn ministerie en een externe technisch adviseur. Naar aanleiding van de melding start het projectteam een onderzoek in samenwerking met de ontwikkelaar van de app. Op basis van deze analyse krijgt de ontwikkelaar in de ochtend van 28 april jl. de opdracht de kwetsbaarheid te verhelpen. Diezelfde dag ontvangt het projectteam het bericht van de ontwikkelaar dat de kwetsbaarheid is verholpen.
Beschrijving van de kwetsbaarheid
Tijdens het installatieproces van de NL-Alert app wordt op het toestel van de gebruiker een unieke token aangemaakt (zie de afbeelding hieronder), waarmee de betreffende installatie kan worden geïdentificeerd. Deze token is zichtbaar om de gebruiker te kunnen identificeren bij een verzoek tot inzage of verzoek tot het verwijderen van de opgeslagen data van de betreffende gebruiker.
De aangetroffen en verholpen kwetsbaarheid maakte het mogelijk dat met deze unieke token via een webadres toegang werd verkregen tot de locatiegegevens van de gebruiker.
Het webadres is waarschijnlijk verkregen door te kijken welk internetverkeer er plaatsvindt vanaf de telefoon waar de app op is geïnstalleerd. De token die noodzakelijk is om een opvraging te doen is alleen te verkrijgen door gegevens van het toestel van de gebruiker te bemachtigen.
Alhoewel er geen logging plaats heeft gevonden van bevragingen van het betreffende webadres, zijn er geen signalen dat er – naast de melding via het NCSC – gebruik is gemaakt van deze kwetsbaarheid.
Directe link
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/kst-29668-55.html