De websites van in elk geval Arnhem, Emmeloord, Hellendoorn, Hilversum, Nijmegen, Noordoostpolder en Rotterdam waren kwetsbaar voor een cross site scripting-aanval. Beveiligingsonderzoeker DC ontdekte de gaten en meldde ze aan bij Webwereld in het kader van Lektober.

DigiD-probleem

Normaliter zouden XSS-lekken onvoldoende zijn voor Lektober, omdat er geen concreet scenario bestaat om de privacy van burgers in gevaar te brengen. Maar nu speelt er een actueel probleem. Via een dergelijk lek kan namelijk DigiD worden misbruikt.

Op 1 oktober 2011 onthulde Webwereld dat websites met DigiD, die kwetsbaar zijn voor een cross site scripting aanval, het mogelijk maken om een DigiD-sessie over te nemen. DigiD controleert niet of het IP-adres tijdens een sessie verandert. Verder controleren slechts enkele websites of een sessie al is beëindigd, waardoor een aanvaller vrolijk na het beëindigen van een sessie kan doorgaan. Er zijn geen duidelijk regels waarop moet worden getest.

Nu blijkt dus dat er inderdaad veel gemeentesites zijn die kwetsbaar zijn voor deze hack, omdat er XSS-lekken in zitten. Hiermee wordt de aanval dus een reële mogelijkheid.

Samenwerking met de VNG

Webwereld meldt lekken bij de overheid bij Govcert. Voor lekken bij gemeenten werken we via het ICT-programma KING samen met de Vereniging Nederlandse Gemeenten, zodat er desgewenst ondersteuning is voor gemeenten bij het verhelpen van lekken.

"De VNG en KING krijgen via onderzoeksjournalist Brenno de Winter directe informatie over mogelijke veiligheidsrisico's bij gemeentelijke websites", zegt VNG-voorlichter Gjalt Rameijer tegenover Webwereld. “Er wordt daarbij gebruik gemaakt van de kennis van experts op het gebied van digitale beveiliging. Dit stelt de VNG en KING in staat om gemeenten snel van actuele informatie te voorzien."

Structureel verbeteren

De VNG is overtuigd van de noodzaak om beveiliging beter op de kaart te zetten. “De onderzoeksjournalist toont op deze wijze helder aan dat de veiligheid beter moet, zonder dat gemeenten na de publicatie extra kwetsbaar worden. Gemeenten hebben de kans het lek te dichten voordat de uitzending is", stelt Rameijer. “Gezamenlijk gaan we ook nadenken over een structurele verbetering voor gemeenten."

De lekken zijn aangemeld bij de gemeenten en verholpen.

Lektober

De lekken zijn een onderdeel van Lektober, waarin Webwereld iedere werkdag van de maand oktober iedere dag een lek presenteert om daarmee de aandacht te vestigen op de slechte staat van beveiliging van privacygevoelige informatie. In totaal heeft Webwereld in het kader van Lektober nu - met de aankondiging meegerekend - 10 lekken geopenbaard.