Brief regering : Kwetsbaarheid app NL-Alert en voortgang onderzoek datalek
29 668 Beleidsplan Crisisbeheersing
26 643 Informatie- en communicatietechnologie (ICT)
Nr. 55 BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 6 mei 2020
Op 30 april jl. heb ik uw Kamer geïnformeerd1 over de melding die mijn ministerie heeft gedaan bij de Autoriteit Persoonsgegevens
van een datalek in de app van NL-Alert. Via deze brief informeer ik uw Kamer daarnaast
over een kwetsbaarheid waarover de dag na verzending berichtgeving in de media was.
Ook ga ik in op de voortgang van het onderzoek naar het datalek.
Kwetsbaarheid
In de bijlage bij deze brief is een beschrijving te vinden van de betreffende op 23 april
bij het Nationaal Cyber Security Centrum (NCSC) gemelde en op 28 april verholpen kwetsbaarheid.
Omdat er mogelijk sprake zou kunnen zijn van een datalek waarvoor een meldingsplicht
bestaat is daarover extern juridisch advies ingewonnen. Uit het juridisch advies dat
op 24 april jl. is ontvangen, bleek dat dit niet het geval was.
Omdat er fysieke toegang tot het toestel van de gebruiker nodig was, gebruik van de
kwetsbaarheid de nodige technische kennis vereist, de kwetsbaarheid niet publiekelijk
bekend was en er geen indicaties zijn dat er misbruik is gemaakt van de kwetsbaarheid
is de conclusie van het extern juridisch advies dat er geen sprake is van een meldingsplichtig
datalek. Gelet op bovenstaande overwegingen en het feit dat de kwetsbaarheid op 28 april
is verholpen, is deze niet aan uw Kamer gemeld. Naar aanleiding van berichtgeving
in de media op 1 mei jl. over de betreffende kwetsbaarheid is het eerdergenoemde advies
voor alle zekerheid voorgelegd aan de Landsadvocaat en deze komt tot dezelfde conclusie.
Omdat de informatiebeveiliging van de app boven elke twijfel verheven moet zijn met
het oog op het gebruik door burgers en er zeker van te zijn dat de app geen kwetsbaarheden
bevat, heeft mijn ministerie Fox-IT gevraagd als onafhankelijk expert de app door
te lichten en mogelijke risico’s in kaart te brengen.
In het licht van het op 30 april gemelde datalek was het duidelijker geweest uw Kamer
ook over de kwetsbaarheid te informeren.
Voortgang onderzoek datalek
Inmiddels zijn gebruikers van de app via de website van NL-Alert geïnformeerd over
het datalek, waarbij het advies is gegeven de app te verwijderen. Dit advies is nog
onverminderd van kracht. Om gebruikers te beschermen die de app niet verwijderd hebben,
is sinds 1 mei jl. een update van de app beschikbaar die – na installatie op het toestel
van de gebruiker – het datalek naar de externe dienst dicht. Uit cijfers blijkt dat
inmiddels het overgrote deel van de gebruikers de app verwijderd of geüpdatet heeft.
Via de Landsadvocaat is de leverancier van de externe dienst meerdere malen gesommeerd
medewerking te verlenen aan het dichten van en het onderzoek naar het datalek. Ook
heeft de Landsadvocaat deze leverancier gesommeerd de al verzamelde data te vernietigen.
Zoals toegezegd in de brief van 30 april zal ik uw Kamer over de uitkomsten van het
onderzoek naar aard, omvang en impact van het datalek informeren.
De Minister van Justitie en Veiligheid, F.B.J. Grapperhaus
Bijlage – Toelichting op de aangetroffen kwetsbaarheid
Chronologische schets kwetsbaarheid
Het Nationaal Cyber Security Centrum (NCSC) informeert op donderdagochtend 23 april
het projectteam, dat verantwoordelijk is voor de ontwikkeling van de NL-Alert app,
over een kwetsbaarheid in de app. Het projectteam bestaat uit medewerkers van mijn
ministerie en een externe technisch adviseur. Naar aanleiding van de melding start
het projectteam een onderzoek in samenwerking met de ontwikkelaar van de app. Op basis
van deze analyse krijgt de ontwikkelaar in de ochtend van 28 april jl. de opdracht
de kwetsbaarheid te verhelpen. Diezelfde dag ontvangt het projectteam het bericht
van de ontwikkelaar dat de kwetsbaarheid is verholpen.
Beschrijving van de kwetsbaarheid
Tijdens het installatieproces van de NL-Alert app wordt op het toestel van de gebruiker
een unieke token aangemaakt (zie de afbeelding hieronder), waarmee de betreffende
installatie kan worden geïdentificeerd. Deze token is zichtbaar om de gebruiker te
kunnen identificeren bij een verzoek tot inzage of verzoek tot het verwijderen van
de opgeslagen data van de betreffende gebruiker.
De aangetroffen en verholpen kwetsbaarheid maakte het mogelijk dat met deze unieke
token via een webadres toegang werd verkregen tot de locatiegegevens van de gebruiker.
Het webadres is waarschijnlijk verkregen door te kijken welk internetverkeer er plaatsvindt
vanaf de telefoon waar de app op is geïnstalleerd. De token die noodzakelijk is om
een opvraging te doen is alleen te verkrijgen door gegevens van het toestel van de
gebruiker te bemachtigen.
Alhoewel er geen logging plaats heeft gevonden van bevragingen van het betreffende
webadres, zijn er geen signalen dat er – naast de melding via het NCSC – gebruik is
gemaakt van deze kwetsbaarheid.
Ondertekenaars
-
Eerste ondertekenaar
F.B.J. Grapperhaus, minister van Justitie en Veiligheid