image

DigiD via lek in Nederlandse gemeentesites te stelen *update*

vrijdag 18 april 2008, 10:09 door Redactie, 13 reacties

In tientallen Nederlandse gemeentesites bevinden zich beveiligingslekken waardoor een aanvaller persoonlijke gegevens kan stelen, zo laat een beveiligingsonderzoeker Security.NL weten. Zarco Zwier trof in 31 websites de mogelijkheid tot cross-site scripting aan, waardoor het mogelijk is om gegevens die tijdens de inlogsessie op de website beschikbaar zijn, te achterhalen en weg te sluizen. "Gevaarlijk is dit wanneer deze kwaadaardige URL's in reclamebanners worden verstopt om zo DigiD of andere persoonlijke gegevens van ingelogde bezoekers te verzamelen," aldus de onderzoeker.

Ook is het mogelijk gebruikers over te halen een link te laten bezoeken om zo andere content weer te geven in de context van het domein van de gemeente, waardoor het voor een nietsvermoedende gebruiker op een authentiek bericht van de gemeente lijkt. De gegevens in de database van de websites waren in de meeste gevallen niet toegankelijk, alhoewel hij op één website een SQL-query met geïnjecteerde code terugkreeg.

De kwetsbare gemeenten werden een maand geleden ingelicht, maar Zwier ontving pas van negen gemeenten een reactie. Het probleem wordt in de meeste gevallen veroorzaakt doordat er een ongepatcht CMS in gebruik is. Zwier ontdekte dat er vier typen URL's zijn, wat waarschijnlijk betekent dat er minimaal vier CMS-en worden gebruikt. Of de andere gemeenten gebruikmaken van een CMS of dat er iets op maat gemaakt is, kon hij niet zo zeggen. "Ik heb er namelijk maar twee avonden aan besteed."

Mondje dicht

De onderzoeker is inmiddels ook benaderd door de producent van één van de CMS-en. Hem werd gevraagd om met gepaste terughoudendheid informatie naar buiten te brengen, volgens Zwier omdat ze negatieve publiciteit willen voorkomen. "Dat is logisch, dat snap ik ook wel. Echter, daar er hier een maatschappelijk belang speelt, acht ik het van belang dat mensen hiervan op de hoogte worden gebracht." De producent die Zwier niet bij name wil noemen vroeg hem ook om in plaats van de gebruikers, voortaan de producent zelf in te lichten over gevonden kwetsbaarheden. Iets waar de onderzoeker zich wel in kon vinden.

"Daar deze websites toch vrij belangrijk zijn voor de Nederlandse burger, acht ik het van belang dat de burgers worden geinformeerd over spelende problemen
en dat overheden het belang inzien van het veilig maken en houden van hun digitale systemen. Als ik in twee avonden, na een zware werkdag 31 kwetsbare websites kan vinden, ga dan maar eens na wat internetcriminelen voor schade kunnen aanrichten," zo waarschuwt hij. De websites van onder andere Delft, Rotterdam, Schiedam, Leiden, Emmen, Almelo en Apeldoorn zijn lek.

Update 20 april

Zwier laat weten dat hij contact met een medewerker van DigiD heeft gehad. Die dacht, net als de onderzoeker, dat ook DigiD kwetsbaar was, wat echter niet het geval (b)lijkt. De DigiD gegevens worden niet van de DigiD website doorgegeven aan de gemeenten, er wordt alleen een sessie-ID doorgestuurd. De onderzoeker was op het verkeerde been gezet door een tekst op de DigiD website waar staat: "DigiD biedt alleen zekerheid over de identiteit van de gebruiker. Tot welke gegevens hij toegang krijgt en welke transacties hij via de internetsite mag verrichten, bepaalt de overheidsinstelling zelf." Zwier schrijft in een reactie: "Dit had ik gelezen als: indien een gemeente andere gegevens dan de identiteit van de gebruiker (bevestigd door een session-ID) wil gebruiken, kunnen zij dit. Het is niet per definitie zo dat DigiD-gegevens te stelen zijn."

Reacties (13)
18-04-2008, 10:41 door [Account Verwijderd]
[Verwijderd]
18-04-2008, 10:44 door Anoniem
Door Nielsk
Bij almelo had ik ook wel vaker fouten geworden. komt ook omdat er in de
buurt woon maargoed.
Wow. Eigenlijk best zonde van mijn tijd geweest dat ik geprobeerd heb om
deze opmerking te begrijpen...
18-04-2008, 13:48 door [Account Verwijderd]
[Verwijderd]
18-04-2008, 15:47 door Anoniem
eens kijken hoe lang de sites 'lek' blijven...
18-04-2008, 16:11 door Anoniem
Door Nielsk
Door Anoniem
Door Nielsk
Bij almelo had ik ook wel vaker fouten geworden. komt ook
omdat er in de
buurt woon maargoed.
Wow. Eigenlijk best zonde van mijn tijd geweest dat ik
geprobeerd heb om
deze opmerking te begrijpen...
Je kan ook triest doen was toen nog vroeg voor mij. maar
blijf maar lekker
zielig anoniem reageren:') Op de site van almelo.nl had ik
wel vaker eens van
die zielige fouten gevonden, ik had deze site getest omdat
ik er in de buurt
woon en er misschien nog wel wat mee kon bereiken. snapt
meneer de
stumper het nu?

Ik snap het ! (Ik ben een andere 'zielige' Anoniem)

In Almelo is altijd wel iets te doen; soms staat het licht
er op rood, soms op groen ! ;)
18-04-2008, 16:53 door Anoniem
Door Nielsk
Door Anoniem
Door Nielsk
Bij almelo had ik ook wel vaker fouten geworden. komt ook omdat er in de
buurt woon maargoed.
Wow. Eigenlijk best zonde van mijn tijd geweest dat ik geprobeerd heb om
deze opmerking te begrijpen...
Je kan ook triest doen was toen nog vroeg voor mij. maar blijf maar lekker
zielig anoniem reageren:') Op de site van almelo.nl had ik wel vaker eens van
die zielige fouten gevonden, ik had deze site getest omdat ik er in de buurt
woon en er misschien nog wel wat mee kon bereiken. snapt meneer de
stumper het nu?

Ik ben niet de Anoniem die eerder op je tekst reageerde.
En nee, ook ik begrijp er niks van. Vertel eens wat je voor fouten hebt
gevonden, en wat je 'er misschien nog wel' mee wilde bereiken? Graag als je
beter uitgeslapen bent, dan is er meer kans dat ik het ook snap. Ik leer graag.

Peter
18-04-2008, 22:37 door Anoniem
Door Anoniem

Ik ben niet de Anoniem die eerder op je tekst reageerde.
En nee, ook ik begrijp er niks van. Vertel eens wat je voor
fouten hebt
gevonden, en wat je 'er misschien nog wel' mee wilde
bereiken? Graag als je
beter uitgeslapen bent, dan is er meer kans dat ik het ook
snap. Ik leer graag.

Peter

Haha, volgens mij heeft meneer Nielsk daar een paar taal- en
interpunctiefouten gevonden :P
19-04-2008, 16:24 door Anoniem
In de site van Haarlem.nl zat een LFI.. Geen idee of het er nog in zit..
19-04-2008, 17:54 door [Account Verwijderd]
[Verwijderd]
20-04-2008, 16:39 door H.King
ik persoonlijk heb een aantak gemeente websites, denk zo'n 7 maanden
geleden gewaarschuwt voor XSS bugs in hun website. Die trouwens in een
week tijd zijn gedicht. Maar voormij dus niet echt nieuws, was al bekend
20-04-2008, 17:53 door Anoniem
Door H.King
ik persoonlijk heb een aantak gemeente websites, denk zo'n 7 maanden
geleden gewaarschuwt voor XSS bugs in hun website. Die trouwens in een
week tijd zijn gedicht. Maar voormij dus niet echt nieuws, was al
bekend
Bedankt voor de mededeling, en wat hebben we aan deze wetenschap?

Ik haal er niets anders uit dan dat je slecht in taal bent.
21-04-2008, 17:52 door Ron66
Door Anoniem
Door H.King
ik persoonlijk heb een aantak gemeente websites, denk zo'n 7 maanden
geleden gewaarschuwt voor XSS bugs in hun website. Die trouwens in een
week tijd zijn gedicht. Maar voormij dus niet echt nieuws, was al
bekend
Bedankt voor de mededeling, en wat hebben we aan deze wetenschap?

Ik haal er niets anders uit dan dat je slecht in taal bent.



Kan jij nu nergens anders gaan lopen vervelen ??

Ik denk dat de serieuze reageerders hier geen boodschap aan jou geblaat
hebben.
22-04-2008, 00:27 door Anoniem
Door Nielsk
Bij almelo had ik ook wel vaker fouten gevonden. komt ook omdat er in de
buurt woon maargoed.

Almelo, Almelo... Hoort dat niet thuis op security.DE ???
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.