“Op 19 juli heeft DigiNotar een inbraak in zijn Certificate Authority (CA) infrastructuur gedetecteerd. Dit heeft geresulteerd in de uitgifte van beveiligingscertificaten voor een aantal domeinen, waaronder Google.com."

Dit meldt Vasco, moederconcern van DigiNotar, in een verklaring naar aanleiding van het nieuws dat er met een vals DigiNotar certificaat mogelijk Gmail-accounts van Iraniërs zijn gekaapt en bespioneerd.

Het is nog onduidelijk hoeveel valse certificaten de hackers hebben bemachtigd, de woordvoerder van Vasco was voor publicatie van dit artikel nog steeds niet bereikbaar.

Vals certificaat gemist

Het concern heeft na ontdekking van de hack "alle regels en procedures nageleefd", luidt de verklaring over het eigen handelen. Uit "een externe audit" zou hebben gebleken dat DigiNotar alle frauduleuze certificaten heeft ingetrokken.

Maandag bleek echter dat ten minste één vals certificaat, die voor Google.com, niet was ingetrokken. Pas nadat het bedrijf hierover was verwittigd door Govcert heeft DigiNotar alsnog dit certificaat ongeldig verklaard, schrijft Vasco in de verklaring.

Naast de inbraak in de kritieke CA-systeem bleek eerder vandaag dat de portal op DigiNotar.nl al jaren gevoelig is voor defacements. In mei en juni 2009 hebben Turkse en Iraanse hackers op verschillende pagina's tekstbestanden geïnjecteerd met eigen boodschappen. Die gehackte pagina's stonden tot begin dinsdagmiddag online. Inmiddels zijn ze offline gehaald.

AIVD onderzoekt

Omdat DigiNotar veel digitale overheidsdiensten beveiligt, waaronder DigiD, is er grote onrust ontstaan in Den Haag. Naast Govcert doet inmiddels ook de AIVD onderzoek, meldt NU.nl.

Zowel D66 als GroenLinks stellen Kamervragen en eisen een diepgravend onderzoek naar het incident. Ook kaart GroenLinks de kwestie in Brussel aan, omdat door toedoen van DigiNotar “Iran bijna twee maanden mee heeft kunnen kijken met haar burgers tijdens het gebruik van programma's als Gmail."

Misbruik van vertrouwen

GroenLinks Tweede Kamerlid Arjan El Fassed stelt: “Beveiligde verbindingen op internet zijn waardeloos als overheden ze kunnen misbruiken voor spionage. Ik wil dat de minister deze zaak uitzoekt en Iran hierop aanspreek. Burgers moeten zich veilig op internet kunnen bewegen. Ik hoop maar dat niemand hier het slachtoffer van is geworden, maar dat is niet uit te sluiten. Die risico's mogen we niet lopen met mensen."

Vasco benadrukt dat DigiNotar een aparte CA voor de overheid heeft, die niet is gecompromitteerd. De authenticatiediensten voor de overheid zijn bovendien veel belangrijker dan de commerciële SSL en EVSSL-diensten van DigiNotar, sust Vasco.

Het bedrijf verwacht dan ook dat het incident 'geen significante impact' zal hebben op de omzet of bedrijfsplannen.

Lees alle berichtgeving van Webwereld over DigiNotar op de dossierpagina.