De Linux versie van het aangifteprogramma van de belastingdienst gaat op een onveilige manier met de DigiD inlogcode om, waardoor andere gebruikers van dezelfde computer het wachtwoord kunnen achterhalen, zo waarschuwt wetenschappelijk programmeur Joris van Rantwijk.

Van Rantwijk ontdekte dat de DigiD inlogcode en het wachtwoord worden doorgegeven in de vorm van een command line parameter. Op veel Linux systemen is het normaal dat alle ingelogde gebruikers de volledige lijst van actieve processen en bijbehorende command line parameters kunnen zien. Indien er dus tijdens het verzenden van de belastingaangifte een tweede gebruiker op de computer is ingelogd, bijvoorbeeld via het netwerk, kan deze het DigiD wachtwoord afluisteren door simpelweg de lijst van processen op te vragen.

De DigiD gegevens zijn niet rechtstreeks leesbaar omdat er gebruik wordt gemaakt van een zogenaamde base64 codering, maar het decoderen daarvan is buitengewoon eenvoudig. "Welliswaar moet de lijst van processen op precies het juiste moment worden opgevraagd, maar dat is eenvoudig te realiseren met behulp van een script" aldus de programmeur.

Hij ontwikkelde zelfs een programma genaamd DigiDsnoop om automatisch DigiD gegevens af te luisteren. Wanneer dit programma actief is op een computer op het moment dat iemand (mogelijk onder een andere gebruikersnaam) zijn aangifte verzendt, wordt de DigiD inlogcode afgeluisterd en weergegeven.

Hoewel een aanvaller er niet zoveel mee kan behalve "het laten schrikken van een collega", heeft van Rantwijk het al in oktober 2006 gemeld op het testforum van het programma, maar zagen de ontwikkelaars geen reden om in actie te komen.

De programmeur ontdekte meer onzorgvuldigheden in het aangifteprogramma. Zo worden databestanden standaard opgeslagen met leestoegang voor alle gebruikers van de computer. Ook is gebleken dat de wachtwoordbeveiliging van het programma zeer onveilig is. "Als je informatieveiligheid serieus neemt, is het wellicht beter om voorlopig aangifte te doen via papieren formulieren."