Donderdag werd duidelijk dat de site van de Tweede Kamer openstaat voor injectie van externe code, zogenaamde cross site scripting (XSS). Er werden verschillende plaatjes van buitenaf in de site gestopt om het lek te demonstreren. Behalve plaatjes is het met XSS gemakkelijk om kwaadaardige code aan een site toe te voegen.

XSS lek in tweedekamer.nl Demonstratie van XSS-lek in Tweedekamer.nl. Zie groter plaatje.

Vanochtend was het lek half gedicht, maar waren de gemanipuleerde urls nog wel zichtbaar. Alleen werden de plaatjes niet meer getoond. De kwetsbaarheid lijkt nu verholpen.

Reeks incidenten

De beheerders van TweedeKamer.nl waren niet meteen bereikbaar voor uitleg. De kwetsbaarheid is het zoveelste security-incident bij een overheidsorganisatie de laatste tijd.

Donderdag schreven verschillende ethische hackers, die zich verenigen in hackerspaces, een brandbrief aan de Tweede Kamer om het belabberde ict- en securitybeleid bij de Nederlandse overheid aan te kaarten.