image

"DigiD onveilig en achterhaald"

woensdag 3 augustus 2011, 11:07 door Redactie, 11 reacties

Het DigiD-systeem van de overheid is onveilig en achterhaald, zo laten beveiligingsexperts tegenover het AD weten. De afgelopen tijd zou er bij honderden Nederlanders voor miljoenen euro's met DigiD zijn gefraudeerd. Zo werden rekeningen voor kinderopvangtoeslag, huur- en zorgtoeslagen veranderd, iets wat via de DigiD-code te doen is. Het geld werd vervolgens naar een andere rekening overgemaakt. Hoe de wijzigingen konden plaatsvinden kon het AD niet zeggen.

Postbode
"Wijzigingen van de inloggegevens worden door de postbode bezorgd", zegt beveiligingsexpert Hans van der Looij tegenover de krant. "Op die manier hebben criminelen verschillende manieren om gevoelige informatie te onderscheppen. Handlangers bij postbedrijven kunnen worden ingeschakeld of brieven worden uit brievenbussen gestolen."

Beveiligers pleiten dan ook om de code voor het activeren van DigiD alleen per aangetekende post te versturen. Daarnaast zou de overheid een systeem moeten invoeren zoals banken voor internetbankieren gebruiken.

Reacties (11)
03-08-2011, 13:00 door Anoniem
Fijn he, die liberalisering van de postmarkt. Nu zijn postbodes geen beedigde ambtenaren meer en kun je ze dus niet meer gebruiken voor vertrouwelijke poststukken.
03-08-2011, 13:14 door Anoniem
Aangetekend, jaja. Iets zegt mij dat er straks weer een stijging is van inbraken in postagentschappen.
03-08-2011, 13:42 door Patio
Ook leuk is dat je het kwijtraakt als je in het buitenland woont. Zelfs een nieuwe aanvragen kan dan niet meer ook al woon je in een EU-land met postkantoren. Ik begrijp dat ze er (bijna?) niet meer zijn in Nederland.
03-08-2011, 13:42 door Anoniem
Dit lijkt me geen zaak dat DigiD onveilig is maar meer een zaak voor de politie omdat er post wordt gestolen. Dezelfde "truc" wordt veelvuldig gebruikt bij pin-codes. het zou beter zijn om codes over 2 verschillende kanalen te sturen (bv deel 1 per email en deel 2 per post). Dat zou het risico verlagen.
03-08-2011, 14:17 door Anoniem
Post is niet overal even betrouwbaar, net als email.
Typisch geval van zo veilig als de zwakste schakel. Maar die zwakste schakel is toch al verstevigd, want je kunt toch ook authenticeren met wachtwoord in combinatie met een one-time-password via SMS?

klinkt een beetje als hete soep en eten enzo...
03-08-2011, 15:04 door Anoniem
Er is wel degelijk een "urgent probleem", al is de manier van aanvallen een standaard "post onderscheppen truk". Het probleem is namelijk dat men bij de overheid/belastingdienst denkt dat post veilig is en dat het verzenden van inlogcodes een afdoende beveiliging is.

Of te wel: het is de noobheid van de mensen achter de knoppen die zorgen dat het systeem lek is. Dat mag wel eens in de krant. Zeker als je ziet dat diezelfde mensen denken dat ze er wel zijn met digid. Trouwens, deze kwetsbaarheid zit ook in bijv. digidmachtigingen, zelfde laken een pak.

Dat otp via sms systeem is er maar wordt niet (nauwelijks) gebruikt. Dat is dus een wassen neus. Volgens mij kan je het ook niet eens gebruiken voor alle diensten.

Jammer dat ze niet een echte review van de technologie hebben gedaan, dan hadden ze wel met meer spannende "headlines" kunnen komen.
03-08-2011, 17:23 door Night
In mijn jeugd werden er veel betaalcheques en bijbehorende pasjes (geen PINpassen nog in die tijd) gejat uit de post. De post is altijd kwetsbaar geweest en zal dat ook blijven

Er zijn betere methoden om vertrouwelijke informatie uit te wisselen, maar als het teveel tijd en geld kost wordt het onwerkbaar. Een lastig dilemma in beveiliging.
03-08-2011, 19:04 door Anoniem
Postbodes die aangetekende pakketjes mogen bezorgen moeten in het bezig zijn van een verklaring van goed gedrag, dus dat verbeterd de veiligheid wel enigszins.
03-08-2011, 21:12 door Jacob Boersma
Ik vraag me af of postbus hengelen/corrupte postbezorgers hier de oorzaak zijn. DigiD op basisniveau is immers een username+password, die zijn ook te achterhalen met keylogger trojans of phishing.
De reden dat er tot nu toe weinig gebruik is gemaakt van het hogere niveau van DigiD (met SMS one time passwords) is omdat veel overheidsdiensten niet beseffen dat er uberhaupt gefraudeerd kan worden. Dit soort berichtgeving is dus goed als het ervoor zorgt dat al die diensten naar het hogere niveau overstappen. 'Tuurlijk is ook SMS verkeer te kraken, maar dat maakt het alweer een stuk lastiger.
03-08-2011, 23:09 door Anoniem
Stop de persen, DigiD blijkt niet gekraakt, deze fraude had niets van doen met DigiD. Leek ook al sterk, 260 brievenbussen hengelen voor iets dat ook zonder kan met een formuliertje.
04-08-2011, 12:54 door Anoniem
Maar wat is er dan wel gebeurd? Want iedereen praat iedereen na maar nergens staat duidelijk hoe die man nou wél zijn fraude gepleegd heeft, en waarom DigiD nog steeds veilig is?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.