Lek2: 7 gemeenten kwetsbaar voor DigiD-lek

Maand van privacylek

Artikelgereedschap

23x Aanbevolen

Gepubliceerd: Maandag 3 oktober 2011
Auteur: Brenno de Winter

Op de eerste werkdag van Lektober aandacht voor het overnemen van DigiD-sessies. In ieder geval waren zeven gemeenten kwetsbaar. Daarmee is het risico niet alleen theoretisch.

De websites van in elk geval Arnhem, Emmeloord, Hellendoorn, Hilversum, Nijmegen, Noordoostpolder en Rotterdam waren kwetsbaar voor een cross site scripting-aanval. Beveiligingsonderzoeker DC ontdekte de gaten en meldde ze aan bij Webwereld in het kader van Lektober.

DigiD-probleem

Normaliter zouden XSS-lekken onvoldoende zijn voor Lektober, omdat er geen concreet scenario bestaat om de privacy van burgers in gevaar te brengen. Maar nu speelt er een actueel probleem. Via een dergelijk lek kan namelijk DigiD worden misbruikt.

Op 1 oktober 2011 onthulde Webwereld dat websites met DigiD, die kwetsbaar zijn voor een cross site scripting aanval, het mogelijk maken om een DigiD-sessie over te nemen. DigiD controleert niet of het IP-adres tijdens een sessie verandert. Verder controleren slechts enkele websites of een sessie al is beëindigd, waardoor een aanvaller vrolijk na het beëindigen van een sessie kan doorgaan. Er zijn geen duidelijk regels waarop moet worden getest.

Nu blijkt dus dat er inderdaad veel gemeentesites zijn die kwetsbaar zijn voor deze hack, omdat er XSS-lekken in zitten. Hiermee wordt de aanval dus een reële mogelijkheid.

Samenwerking met de VNG

Webwereld meldt lekken bij de overheid bij Govcert. Voor lekken bij gemeenten werken we via het ICT-programma KING samen met de Vereniging Nederlandse Gemeenten, zodat er desgewenst ondersteuning is voor gemeenten bij het verhelpen van lekken.

"De VNG en KING krijgen via onderzoeksjournalist Brenno de Winter directe informatie over mogelijke veiligheidsrisico's bij gemeentelijke websites", zegt VNG-voorlichter Gjalt Rameijer tegenover Webwereld. "Er wordt daarbij gebruik gemaakt van de kennis van experts op het gebied van digitale beveiliging. Dit stelt de VNG en KING in staat om gemeenten snel van actuele informatie te voorzien."

Structureel verbeteren

De VNG is overtuigd van de noodzaak om beveiliging beter op de kaart te zetten. "De onderzoeksjournalist toont op deze wijze helder aan dat de veiligheid beter moet, zonder dat gemeenten na de publicatie extra kwetsbaar worden. Gemeenten hebben de kans het lek te dichten voordat de uitzending is", stelt Rameijer. "Gezamenlijk gaan we ook nadenken over een structurele verbetering voor gemeenten."

De lekken zijn aangemeld bij de gemeenten en verholpen.

Lektober

De lekken zijn een onderdeel van Lektober, waarin Webwereld iedere werkdag van de maand oktober iedere dag een lek presenteert om daarmee de aandacht te vestigen op de slechte staat van beveiliging van privacygevoelige informatie. In totaal heeft Webwereld in het kader van Lektober nu - met de aankondiging meegerekend - 10 lekken geopenbaard.

Relevante whitepapers

Alle whitepapers >>

Nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox

Whitepapers

  • Flexibele IT noodzaak voor banken

    Banken worden belemmerd in hun agility door de beperkte flexibiliteit van hun IT-systemen. Onderzoeksrapport waarin de drastische vernieuwing wordt beschreven.

    Downloaden
  • De zes IT-trends anno 2012Wat iedere CIO moet weten om zijn bedrijf op tijd in de juiste richting te begeleiden!
  • VDI: Waar zitten de besparingen? Gratis whitepaper over verregaande besparingen en significante voordelen van VDI
» Meer whitepapers

Peiling

Loading Poll

Video: NPD: bedrijven en je data (video)

NPD: bedrijven en je data (video)