Ministerie adviseert verwijderen NL-Alert-app
Het ministerie van Justitie en Veilgheid adviseert gebruikers van de aanvullende informatie-app van NL-Alert om de app van hun telefoon te verwijderen. Bij de app heeft een datalek plaatsgevonden. Het gaat hierbij niet om de NL-Alert-functie zelf.
De app, die de naam NL-Alert draagt, biedt aanvullende informatie bij NL-Alerts die uitgestuurd worden en staat los van de NL-Alert-functie die in de meeste telefoons is ingebouwd. Die functie blijft werken als de app wordt verwijderd. Volgens het ministerie hebben 58.000 gebruikers de app op hun Android- of iOS-toestel geïnstalleerd.
Externe partij voor notificaties
Om je notificaties te kunnen sturen, maakt de app gebruik van een externe partij. Voor het versturen van de notificaties is tijdelijk informatie over de telefoon en de locatie van de gebruiker nodig. Deze gebruiker blijkt opgeslagen te worden bij de externe partij, zonder dat de gebruikers daar toestemming voor hebben gegeven.
App verwijderen
Het ministerie heeft de partij verzocht om de verzamelde gegevens te vernietigen en het verzamelen ervan per direct te stoppen. Verder wordt er gewerkt aan een update die het lek dicht. Totdat die update uit is, adviseert het ministerie gebruikers om de app van hun telefoons te verwijderen.
Update 1 mei: nog een gat in beveiling NL-Alert-app
Na bericht van de NOS bracht het ministerie van Justitie en Veiligheid vrijdag naar buiten dat het ook mogelijk was de locatie van andere gebruikers van de NL-Alert-app te achterhalen, tot op tien meter nauwkeurig. Dit gat is inmiddels gedicht.
Locatiegegevens van gebruikers lagen dus niet alleen bij de externe partij, maar konden ook door anderen achterhaald worden. Wie dat wilde doen, moest wel beschikken over de unieke code van een gebruiker, de token. Een beveiligingsonderzoeker ontdekte het gat en waarschuwde het ministerie. Volgens een woordvoerster is voor zover bekend geen misbruik gemaakt van het gat.