DigiD, de overheidsdienst waarmee burgers zich bij overheidsinstellingen kunnen authenticeren, is wegens een beveiligingslek offline. Op de website zelf staat de volgende boodschap voor gebruikers: "DigiD is op dit moment niet beschikbaar. Naar verwachting kunt u morgenochtend weer gebruikmaken van DigiD. Onze excuses voor het ongemak." Volgens Logius, dat DigiD beheert, was dit noodzakelijk wegens een ernstig beveiligingslek.
"Er is een ernstig lek gevonden en dat willen we meteen dichten", laat een woordvoerder van Logius tegenover Nu.nl weten. Die benadrukt dat de beveiligingsproblemen niet in DigiD zelf zitten, maar in het platform waarop de dienst is gebouwd.
Ruby on Rails
Het gaat hier volgens de woordvoerder om Ruby on Rails. Een populair opensource-webapplicatieframework. Afgelopen donderdag verscheen er een update voor een SQL Injectie-probleem in de software waardoor aanvallers de authenticatie konden omzeilen.
Inmiddels is er een nieuwe update uitgekomen die verschillende problemen verhelpt waardoor aanvallers de authenticatie konden omzeilen, SQL injectie konden uitvoeren, willekeurige code op het systeem konden uitvoeren of een denial of service veroorzaken.
Vorig jaar ging de dienst ook offline wegens een beveiligingslek. Toen betrof het een hash collision-kwetsbaarheid.
Update 15:35
De makers van de populaire hackertool Metasploit verwachten binnen een paar dagen een exploit te hebben om het lek in Ruby on Rails te kunnen aanvallen.
Update: info over Ruby on Rails toegevoegd
Update 2: info over Metasploit toegevoegd
Deze posting is gelocked. Reageren is niet meer mogelijk.