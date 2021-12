Met een eenvoudig trucje kan je via de site van Qvax te weten komen wat je volgnummer is op de wachtlijst. Dat ontdekte ethisch hacker Inti De Ceukelaire. “For the record: dit is geen veiligheidslek. Hoogstens een slordigheid”, zegt hij op Twitter.

Moeilijk is het niet: eerst log je in op Qvax, vervolgens tik je ‘javascript:’ (zonder aanhalingstekens) in de adresbalk. Plak de tekst uit onderstaande tweet ét voila.

Dit werkt zeker in Google Chrome en Microsoft Edge. In Firefox werkt het niet. De browser blokkeert zogenaamde ‘javascript calls’, aldus computerwetenschapper Jeroen Baert.

“For the record: dit is geen veiligheidslek”, tweet de Ceukelaire nog. “Hoogstens een slordigheid. Wel jammer dat @seaters (ontwikkelaar van achter Qvax red.) geen responsible disclosure-beleid heeft. Dat zou een must moeten zijn voor elke aanbesteding van de overheid.” Zulke beleid houdt in dat een ontwikkelaar openstaat voor derden die fouten, bugs, kwetsbaarheden etc. kunnen melden om die vervolgens te verhelpen, te dichten of op te lossen.“Ik vind dat eigenlijk onkies, al helemaal voor een bedrijf dat heel gevoelige informatie, zoals onze rijksregisternummers”, verduidelijkt De Ceukelaire nog. “Onder mijn tweet liet iemand weten dat hij in april ook al een probleem gevonden had in Qvax. Hij heeft het bedrijf toe gemaild, berichten op LinkedIn gestuurd, proberen bellen… maar is gewoonweg genegeerd.”

Wat wil dat nummer zeggen? Wellicht niet veel.

De hamvraag is echter: wat ben je met dat nummer? Wil het iets zeggen? “Dat is een vraag voor de ontwikkelaar Seater, het is niet duidelijk”, zegt Joris Moonens, woordvoerder van het Agentschap Zorg & Gezondheid. “Maar zaak is wel dat Qvax ingeschrevenen oproept niet op basis van wie er zich eerst inschreef, maar op basis van dezelfde voorrangsregels als bij gewone vaccinatie. Zorgverleners, ouderen, mensen met een gecompromitteerd immuunsysteem, mensen die Johnson & Johnson hebben gekregen… krijgen voorrang, vervolgens wordt de lijst per leeftijd afgegaan.”