Nederlanders konden gisteren niet inloggen met DigiD, omdat de applicatie is gebouwd in een versie van Ruby on Rails die een probleem bleek te bevatten. Via een gat konden onder meer sql-injecties worden uitgevoerd en de authenticatie worden omzeild.

Upgraden naar ondersteunde versie

Het gat werd dinsdagavond ontdekt en binnen een uur was er een exploit beschikbaar die misbruik mogelijk maakte. Woensdagochtend werd DigiD offline gehaald en de dienst bleef de hele dag onbeschikbaar. Rapid7 voegt de kwetsbaarheid toe aan de pentool Metasploit.

De makers voor RoR raden aan om te upgraden naar een ondersteunde versie van het platform. Daarna is het een kwestie van de applicatie door de upgrade heen te halen om het lek te dichten. Een woordvoerder van Logius meldde gisteren aan Webwereld dat DigiD nog getest moest worden in een testomgeving.