Overheid: DigiD niet gekraakt
Het DigiD-systeem is niet gekraakt, zo laat het Ministerie van Binnenlandse Zaken in een verklaring weten. Het AD kwam gisteren met commentaar van verschillende beveiligingsexperts die stelden dat het systeem onveilig en achterhaald was. Het artikel verscheen naar aanleiding van een man die vermoedelijk in de maand juni 260 maal rekeningnummers heeft gewijzigd waardoor hij toegang kreeg tot de uitgekeerde toeslagen. Uit het onderzoek blijkt niet dat DigiD daarbij is gekraakt, en blijkt dat geen DigiD’s van de getroffen huishoudens zijn ontvreemd, aldus het ministerie.
"Om fraude met aanvragen te voorkomen, verstuurt de Belastingdienst een bevestiging van een wijziging en toeslagaanvraag per brief. Mensen kunnen aan de bel trekken bij ontvangst van een dergelijke brief als zij van de inhoud niets af weten", aldus de verklaring. Volgens het ministerie hebben mensen de afgelopen tijd inderdaad aan de bel getrokken. "Dat heeft uiteraard tot grote onrust onder de betrokken burgers geleid."
Fraude
Het ministerie stelt verder dat circa negen miljoen mensen DigiD gebruiken, die hier zo'n vijftig miljoen transacties per jaar mee uitvoeren. "Het aantal bekende gevallen waarin wel sprake is van het ontvreemden van DigiD's is zeer beperkt."
Sinds de invoering van DigiD in 2005 zijn dergelijke pogingen enkele honderden malen onderzocht. Bij het Centraal Meldpunt Identiteitsfraude en -fouten zijn enkele tientallen gevallen van vermoeden van misbruik bekend. Een DigiD kan in dat geval worden opgeheven, wat dit jaar acht maal is gebeurd.
Een beveiliging bestaat uit technische en organisatorische maatregelen. Feiten zijn dat DigiD domweg wijzigingen toestaat zonder dat er vanuit DigiD controle plaats heeft of het door de juiste persoon heeft plaatsgevonden. Veiligheid die er bestaat is vooral afhankelijk van maatregelen die de aanbieder kan/wenst te nemen. De belastingdienst heeft er voor gekozen om per brief een wijziging door te sturen naar het adres wat ze hebben gekregen. Het GBA adres is echter geen bevestiging dat de juiste persoon het ook kan ontvangen. DigiD faalt. Het systeem van de belastingdienst/afnemer ter eventuele controle is belabberd. In _diverse_ gevallen hebben burgers gereageerd op illegale wijziging.... Hoe succesvol veilig....NIET!!!
De ambtenaren spelen er op in dat er onrust ontstaat doordat burgers bevestigd krijgen dat er met DigiD en de persoonlijke omgeving is geknooeid. Laten we ons vooral niet ongerust maken over het falen van het systeem en het pure geluk achteraf dat honderden personen de dupe zijn van fouten in de beveiliging van DigiD en achteraf vele duizenden euro's aan _publiek_ geld kwijt zijn aan het systeem, de directe schade die niet is terug te krijgen en de schade om alles weer te onderzoeken en een beetje recht te praten...
Moet het niet zijn: waarom hebben ze bij de overheid managers, die geen inzicht hebben op security gebied, die hiervoor verantwoordelijk zijn? Met de juiste mensen op de juiste plaats, dus ook op management gebied, wordt veel voorkomen.
Een IT-er moet een applicatie bouwen op basis van de gegeven specificaties. Wanneer hij/zij daar een betere beveiliging in wil brengen, kan hij ook worden teruggefloten, omdat die verbetering budgettair niet te verantwoorden valt. Dit soort projecten gaan meestal toch al over de tijd en het budget heen, dus wordt dan op de verkeerde plek bezuinigd.
dat is als een eerlijke politie agent die geen bekeuringen wilt uitschrijven om aan zijn (verboden) quota te voldoen.
Dat wil niet zeggen dat het er niet is. Het is alleen niet ontdekt. Het is zoiets als het aanpassen van een definitie van het op tijd rijden bij de NS. Waar het voorheen was dat een trein na 3 minuten over tijd als te laat werd genoteerd. Nu is dat geloof ik pas na 6 minuten of zo. Je doet dus verder niks aan het feitelijke probleem, maar de statistieken fleuren enorm op.
Dit zegt ook niet zoveel. Want wat is kraken. Kraken is vooral het gebruik maken van een technische fout waardoor toegang verkregen wordt. Zoiets als een koevoet om een deur te openen. En het zou best kunnen zijn dat dat hier niet is gebeurd. Echter het is vele malen makkelijker om gewoon met de credentials van een ander in te loggen, dus zoiets als de deur openen met een gevonden sleutel. Dat neemt niet weg dat er in beide gevallen spullen ongeoorloofd verdwijnen.
Het digiD systeem zou moeten worden uitgebreid met een tweede laag van authenticatie, zoiets als een RandomReader die gebruik maakt van een overheids document als een ID kaart of zo (of een toegestuurde kaart bij het aanmaken van een DigiD, is vast goedkoper dan iedereen een nieuwe ID kaart te laten kopen....)
Ik zal proberen een even foute analogie toe te passen..
Er zijn 17 miljoen Nederlanders, er gaan 140.000 mensen per jaar dood, dus het aantal bekende gevallen van sterfte is zeer beperkt.
Nee, dood gaan als een van de 140.000 op de 17 miljoen is niet erg.... DOH!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
