Grapperhaus: tweede lek in NL-Alert-app was geen meldplichtig datalek

Een tweede beveiligingslek in de NL-Alert-app waar de NOS vorige week vrijdag over berichtte was geen meldplichtig datalek en is daarom niet aan de Tweede Kamer gecommuniceerd, zo heeft minister Grapperhaus van Justitie en Veiligheid aan de Kamer laten weten. Dat las ik bij Security.nl. Bij een eerder beveiligingslek waren locatiegegevens van 58.000 gebruikers en mogelijk andere persoonsgegevens zoals informatie over het besturingssysteem en andere geïnstalleerde apps zonder toestemming van gebruikers bij een externe notificatiedienst terechtgekomen, en dat is natuurlijk een meldplichtig lek. Maar waarom is dat hier niet het geval?

De NOS legt uit:

De app verwerkt die locatie om gebruikers waarschuwingsmeldingen te versturen die zijn gebaseerd op de plek waar ze zijn. Die locatie-informatie werd echter niet afgeschermd verstuurd. Daardoor zou bijvoorbeeld een boze ex of jaloerse partner tot op de minuut kunnen achterhalen waar iemand uithangt.

Vereist voor deze truc was wel dat je het unieke token uit de app te pakken wist te krijgen. Daarmee kon je je aanmelden voor pushberichten van de gebruiker van die app. Er zat dus alleen geen verdere authenticatie op dat proces, dus wie het token had kon op ieder apparaat pushberichten bestellen van de tokenhouder. Je zou zeggen dat dat een meldplichtig datalek is, want dit is wel érg mager qua beveiliging en onthult zeer kwetsbare informatie.

Maar nee:

Omdat er fysieke toegang tot het toestel van de gebruiker nodig was, gebruik van de kwetsbaarheid de nodige technische kennis vereist, de kwetsbaarheid niet publiekelijk bekend was en er geen indicaties zijn dat er misbruik is gemaakt van de kwetsbaarheid is de conclusie van het extern juridisch advies dat er geen sprake is van een meldingsplichtig datalek.

Pakken we de AVG er even bij. Artikel 33 AVG zegt grofweg dat iéder datalek moet worden gemeld bij de toezichthouder, “tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen”.

De volkomen onleesbare overweging 75 bevat wat aanwijzingen voor wanneer het wel of niet waarschijnlijk een risico is:

(75) Het qua waarschijnlijkheid en ernst uiteenlopende risico voor de rechten en vrijheden van natuurlijke personenkan voortvloeien uit persoonsgegevensverwerking die kan resulteren in ernstige lichamelijke, materiële of immateriële schade, met name: waar de verwerking kan leiden tot discriminatie, identiteitsdiefstal of -fraude, financiële verliezen, reputatieschade, verlies van vertrouwelijkheid van door het beroepsgeheim beschermde persoonsgegevens, ongeoorloofde ongedaanmaking van pseudonimisering, of enig ander aanzienlijk economisch of maatschappelijk nadeel; wanneer de betrokkenen hun rechten en vrijheden niet kunnen uitoefenen of worden verhinderd controle over hun persoonsgegevens uit te oefenen; wanneer [bijzondere persoonsgegevens[ worden verwerkt (…); wanneer persoonlijke aspecten worden geëvalueerd, om met name beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren of interesses, betrouwbaarheid of gedrag, locatie of verplaatsingen te analyseren of te voorspellen, teneinde persoonlijke profielen op te stellen of te gebruiken; wanneer persoonsgegevens van kwetsbare natuurlijke personen, met name van kinderen, worden verwerkt; of wanneer de verwerking een grote hoeveelheid persoonsgegevens betreft en gevolgen heeft voor een groot aantal betrokkenen.

Je ziet daarin “locatie te analyseren of voorspellen” staan, dus het lijkt een gelopen race. Maar je moet het zo lezen dat we het een risico vinden dat men door een lek iemands locatie kan achterhalen. De vraag is dus hoe waarschijnlijk het is dat dit risico zich zal verwezenlijken.

Het antwoord van de minister laat zien dat men dit als zeer onwaarschijnlijk inschat. Als je fysiek het toestel in handen moet hebben én er technische kennis nodig is, dan is het lek minder makkelijk te exploiteren. Ook wist kennelijk vrijwel niemand van het lek, waardoor de kans op misbruik ook weer klein is. Anders gezegd: dit was inderdaad een lek maar behoorlijk theoretisch, meteen dichtmaken die handel en klaar.

Voor een bedrijf was het dus genoeg geweest dit in het interne register datalekken (artikel 33 lid 4 AVG) op te nemen en het gat te dichten. Maar als overheid is het wel logisch dat je ook nog even de Kamer informeert.

Arnoud

9 reacties

  1. Lijkt mij een onjuiste conclusie dat je fysiek het toestel in handen moet hebben. Als je via een andere exploit van afstand toegang verkrijgt tot het toestel zou je ook de token moeten kunnen achterhalen.

    1. Als je via een andere exploit op afstand toegang verkrijgt waarbij je ook files van andere applicaties kunt uitlezen, dan zit je volgens mij al op een niveau dat je dat token helemaal niet meer nodig hebt. In dat geval kun je zelf wel de locatiegegevens uit gaan lezen. Zolang het token is opgeslagen in de ‘container’ van de applicatie, denk ik dat het redelijk is dat je voornamelijk kijkt naar fysieke toegang tot het apparaat. En wanneer je dat hebt, zijn er nog wel makkelijkere manieren om een locatie te achterhalen, anders dan je aanmelden voor een pushbericht van een andere applicatie.

      Dus zeker iets wat opgelost moet worden, maar ik deel wel het inzicht dat de likelihood zeer laag is. Stel nou dat dit token ook gewoon door andere applicaties te benaderen is (en je dus uitgaat van een lek autorisatie-/containermodel in het OS), dan is het inderdaad eenvoudiger, maar nog steeds niet eenvoudig.

  2. Maakt het nog uit of je weet aan wie de token (en dus de telefoon) toebehoord? Ik weet niet hoe makkelijk er valide tokens te raden zijn. Als ik zelf random tokens kan genereren en deze kan gaan volgen via de app, maakt dat het dan wel een meldplichtig datalek? Ook als ik niet weet wie ik aan het volgen ben?

    1. Als je locatiegegevens over een wat langer periode hebt (een dag tot enkele weken), dan kun je daar al gauw exact uit af leiden om welke persoon het gaat. Lange periode ’s nachts = huis, zelfde locatie van 9-17: werkadres, vaste route ieder twee weken = de vuilnisman. Niet erg moeilijk om dat vervolgens aan een individu/naam te koppelen. Dus het maakt dan weinig uit of je van te voren weet aan wie het token toebehoort.

      Als je random tokens kunt genereren, hoop ik dat er een goede veiligheidscheck is. Als maar 1 op de miljard tekenreeksen een geldig token kan zijn en er een check is dat je vanaf een device/internetadres niet meer dan 5 verschillende tokens achter elkaar mag proberen, dan is dat een acceptabele beveiliging. Maar als er maar 100 miljoen mogelijke tokens zijn op een bevolking van 17 miljoen, dan is er een probleem.

  3. Als ik een token van iemand zijn telefoon kan halen, dan heb ik toch al genoeg toegang om van alles te bewerkstelligen, inclusief het achterhalen van iemand zijn locatie? Daar heb ik dan heel die app toch niet meer voor nodig?

    1. Het idee is dat je met ‘even’ toegang (bv onbewaakt moment als iemand naar de wc is, of ‘mag ik even iets opzoeken op internet’) het token achterhaalt en daarna nog voor onbepaalde tijd iemand kunt volgen zonder dat de persoon in kwestie er iets van weet of merkt. Waarmee je dus vele malen ernstiger inbreuk kunt maken dan in die paar minuten die je over de telefoon beschikt.

    1. Inderdaad. Ik denk niet dat degenen die weten van een lek en kwaad in de zin hebben dat vrolijk gaan roepen. Net zoals bijv. een overvaller ook niet op straat gaat roepen “om 17:00 zit er een mol achter het bankloket, dus ga ik even lekker mijn slag slaan”.

    2. Hier kan je wel iets over zeggen afhankelijk of exploids in script vrij beschikbaar zijn of alleen gemeld door een ethical hacker onder responsible disclosure. (danwel door je eigen ethical hacker gevonden maar niet door derden)

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.