image

Overheid lekt privégegevens door DigiD-blunder

dinsdag 9 november 2010, 09:59 door Redactie, 17 reacties

Overheidsinstantie Dienst Uitvoering Onderwijs (DUO) heeft dit weekend door een DigiD-blunder de privégegevens van studenten gelekt. Door in te loggen op de studiefinancieringssite kregen studenten de persoonlijke gegevens van andere studenten te zien, zoals studieschuld en waar men studeerde.

Volgens het ministerie van Binnenlandse Zaken is DigiD op andere sites wel veilig. Het probleem zou bij DUO liggen. Een woordvoerder laat tegenover RTL Nieuws weten dat door grote drukte de gegevens van anderen aan elkaar gekoppeld werden. Het lekken van de gegevens zou echter niet op grote schaal zijn gebeurd. Om erger te voorkomen werd de website zaterdag tijdelijk offline gehaald.

Reacties (17)
09-11-2010, 10:03 door Anoniem
Ik ben geen database-administrator, maar is het niet erg raar dat de load van een server invloed heeft op relations binnen de DB? Ik neem aan dat op de achtergrond iets als SQL-statements draaien, de output van die queries verandert toch niet door drukte?
09-11-2010, 10:15 door Anoniem
Dit heeft te maken net thread-safety in de applicatie.
http://en.wikipedia.org/wiki/Thread_safetypc
09-11-2010, 10:16 door Anoniem
Op andere sites waar ik over dit probleem lees (o.a. http://tweakers.net/nieuws/70674/overheidsorganisatie-laat-privegegevens-studenten-uitlekken.html) staat juist vrij explicitiet dat - ondanks dat DigiD gebruikt wordt om in te loggen op deze site - het probleem te wijten was aan een fout op de website en niet aan een foutief gebruik van DigiD. Ik ben benieuwd naar de overwegingen om in de kop en het artikel toch zo nadrukkelijk naar DigiD te verwijzen?
09-11-2010, 10:17 door Anoniem
pummels
09-11-2010, 10:19 door Anoniem
Gewoon prutswerk... Pay more get more
09-11-2010, 10:32 door Anoniem
Door Anoniem: Dit heeft te maken net thread-safety in de applicatie.
http://en.wikipedia.org/wiki/Thread_safetypc

Je url werkt niet.
Wat probeer je nu eiegenlijk uit te leggen?
09-11-2010, 10:44 door SirDice
Door Anoniem: Gewoon prutswerk... Pay more get more
Pay peanuts, get monkeys.
09-11-2010, 10:49 door Anoniem
Is DUO nu niet wettelijk verplicht om de mensen van wie zij prive gegevens hebben gelekt daarvan op de hoogte te stellen?
09-11-2010, 11:25 door Anoniem
Nou lekker. Hopelijk zijn mijn gegevens niet door iemand anders gezien
09-11-2010, 11:32 door Anoniem
Volgens mij heeft het niets met Digid te maken, alswel met het systeem van DUO.
09-11-2010, 12:04 door Anoniem
Door Anoniem:
Door Anoniem: Dit heeft te maken net thread-safety in de applicatie.
http://en.wikipedia.org/wiki/Thread_safetypc
Je url werkt niet.
Wat probeer je nu eigenlijk uit te leggen?
De correcte url is http://en.wikipedia.org/wiki/Thread_safety

Als een functie gelijktijdig door verschillende threads aangeroepen kan worden moet het zelf voor zijn dataopslag zorgen, b.v. in de stack.
Als globale geheugenruimte gebruikt wordt, gebruiken de verschillende threads dezelfde geheugenruimte en worden de gegevens door elkaar gehaald. De kans hierop is groter als het systeem druk gebruikt wordt.
09-11-2010, 12:25 door Anoniem
Voor zover ik kan opmaken uit de beschikbare informatie, heeft dit probleem helemaal niets met DigiD te maken - ondanks dat DigiD gebruikt wordt om in te loggen op deze website. Vanwaar dan toch deze sensationele kop? Is de taak van security journalistiek niet juist om dit soort sensationele verhalen goed te analyseren en te duiden?
09-11-2010, 12:45 door WhizzMan
De hele authenticatie van DigID is stuitend slecht te noemen. Een login/wachtwoordcombinatie die eenvoudig mag zijn en nooit verloopt. De optionele authenticatie via SMS wordt door (bijna) geen enkele aangesloten partij vereist.

Een van de klassieke fouten die je met authenticatie kan maken, is aangeven of een account bestaat. Bij DigID krijg je keurig te zien of je accountnaam niet deugt, of dat de account wel bekend is, maar het wachtwoord onjuist. Als zo'n basisfout al in de produktie kan doorstromen, houd ik mijn hart vast over de achterliggende technieken en architectuur die niet te zien zijn voor de eindgebruiker.

Het lastige is, dat je niet zelf mag besluiten hoeveel vertrouwelijke gegevens je achter deze authenticatie plaatst. Bij een bank of een social networking site, kan je zelf nog kiezen om geen geld, krediet of prive-foto's te plaatsen. Bij DigID kiest de overheid dit voor je.
09-11-2010, 12:53 door N4ppy
Is het thread safety of omdat er meerdere sessies tegelijk geprocessed worden in de webserver die tegelijk aan het zelfde ding willen zitten. Kwam het zelf tegen bij een programmeur die op een citrix server c:\windows\temp gebruikte en het raar vond dat z'n temp files niet de inhoud had die hij verwachte.

Blijft altijd lastig zodra je dingen moet delen :)
09-11-2010, 13:15 door Anoniem
volgens mij wordt in andere media door DUO gezegd dat het probleem niet bij digid ligt, maar bij DUO zelf.
(o.a. http://www.nu.nl/internet/2374611/duo-verwisselt-gegevens-studenten.html, laatste regel)

@WhizzMan: Om te kunnen inloggen heb je een DigiD inlogcode met sms-functie nodig bij DUO
09-11-2010, 16:09 door Anoniem
Door WhizzMan: De hele authenticatie van DigID is stuitend slecht te noemen. Een login/wachtwoordcombinatie die eenvoudig mag zijn en nooit verloopt. De optionele authenticatie via SMS wordt door (bijna) geen enkele aangesloten partij vereist.

Een van de klassieke fouten die je met authenticatie kan maken, is aangeven of een account bestaat. Bij DigID krijg je keurig te zien of je accountnaam niet deugt, of dat de account wel bekend is, maar het wachtwoord onjuist. Als zo'n basisfout al in de produktie kan doorstromen, houd ik mijn hart vast over de achterliggende technieken en architectuur die niet te zien zijn voor de eindgebruiker.

Het lastige is, dat je niet zelf mag besluiten hoeveel vertrouwelijke gegevens je achter deze authenticatie plaatst. Bij een bank of een social networking site, kan je zelf nog kiezen om geen geld, krediet of prive-foto's te plaatsen. Bij DigID kiest de overheid dit voor je.

En zo is dat! Je hebt helemaal gelijk, naar mijn mening. Toch begrijp ik DigiD wel een beetje, er zijn genoeg mensen die het gewoonweg nodig hebben dat ze verteld wordt waar ze een fout gemaakt hebben tijdens het inloggen, in de gebruikersnaam of in het wachtwoord of allebei ... valt ook niet mee joh, twee velden foutloos invullen he? Ook ben ik wel enigzins benieuwd naar de lengte van het wachtwoord wat merendeel gebruikt, kijk, in (max.) 32 karakters kun je er nog wel eens een "vergeten" maar hoe kun je TanteBep nu foutief invoeren? Dan ben je er toch niet helemaal bij met je hoofd denk ik....
Hello world ! ;-)
11-11-2010, 08:28 door Anoniem
Wat een lul verhaal door de drukte zouden database gegevens aan elkaar gekoppeld zijn hahahahahahahahahahahahahaha en nog eens hahahahaha wat is dat voor deskundige hahahahahaha ja voor een leek die zou zeggen oh zit dat zo.
ik denk dat het komt omdat mensen op dat moment koffie dronken en dat is bekent he als je koffie drinkt dan worden database gegevens aan elkaar gekoppeld ik vertelde dat aan mijn oma en weet je wat ze geloofde het.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.