DigiD is vandaag offline gehaald wegens een gat in ontwikkelaarsplatform Ruby on Rails. Via de kwetsbaarheid zijn applicaties die in RoR zijn ontworpen vatbaar voor sql-injectie en het omzeilen van de authenticatie. Onder meer Groupon en Twitter bouwen in RoR en zo nu blijkt ook DigiD.

DigiD meldt op de site dat de authenticatiedienst van de overheid vandaag offline is. Naar verwachting is DigiD morgen weer in de lucht, zo staat in de boodschap te lezen.

Vatbaar voor sql-injectie

Het Nationaal Cyber Security Centrum (NCSC) waarschuwt vandaag voor het lek in RoR en bevestigt tegenover Webwereld dat dit inderdaad het gat is waardoor DigiD nu offline is. Webwereld heeft vragen uitstaan bij ict-uitvoerder Logius, dat voor de overheid ict-diensten beheert.

Vorige week dook al een ernstige lek op in Ruby on Rails. Door dit lek zijn diverse applicaties die in RoR zijn ontworpen vatbaar voor SQL-injectie. De makers van het framework raden ontwikkelaars aan om onmiddellijk te upgraden naar een nieuwe versie waarin het probleem zich niet voordoet.

Update 13:48 uur Woordvoerder Michiel Groeneveld bevestigt dat het om het RoR-lek gaat.

Update 13:57 uur: De woordvoerder laat weten dat het om een ander lek in RoR gaat. De makers van RoR waarschuwden gisteren in een bulletin (opnieuw) dat ontwikkelaars maar beter direct kunnen upgraden naar een ondersteunde versie. Lead van het artikel aangepast.