Minister Opstelten van Veiligheid en Justitie heeft eindelijk gereageerd op Kamervragen over een beveiligingslek in iTunes waardoor het mogelijk zou zijn om wachtwoorden van gebruikers te stelen. Het probleem werd in mei openbaar gemaakt en ontstaat doordat iTunes de servercertificaten niet controleert.
Een aanvaller die zich tussen Apple en het slachtoffer begeeft zou zo wachtwoorden kunnen onderscheppen. SP-Kamerlid Gesthuizen stelde Opstelten daarop verschillende vragen, zoals hoe groot de kans is dat Nederlandse iTunes- en iCloudgebruikers het slachtoffer zijn of kunnen worden van dit lek. Ook wilde ze weten of er al meldingen van personen bekend zijn die slachtoffer van dit beveiligingsprobleem zijn geworden.
De minister schrijft dat er op dit moment bij het Nationaal Cyber Security Centrum geen signalen van actief misbruik van deze kwetsbaarheid in Nederland bekend zijn. Ook zou de politie geen aangiftes hebben ontvangen waar uit het verband tussen aanvallen en iTunes gelegd kan worden.
Gesthuizen wilde ook weten of de fout mogelijk opzettelijk zou zijn aangebracht en of de minister kon nagaan of eventuele opzettelijke kwetsbaarheden ook bij andere bedrijven aanwezig zijn, bijvoorbeeld bij Java van Oracle. "Deze implementatiefout op het gebied van het TLS/SSL-protocol is door diverse partijen gemaakt. Ingaan op het vermeende gebruik hiervan door inlichtingen- en veiligheidsdiensten zou daarbij speculatief van aard zijn", aldus Opstelten.
Aangezien dergelijke implementatiefouten volgens de minister vaker voorkomen en het zeer zeker niet om een noodzakelijkerwijs opzettelijke kwetsbaarheid gaat, ziet hij geen aanleiding om op basis van dit lek onderzoek te doen naar andere bedrijven.
Opstelten moest verder laten weten of hij van plan was om de veiligheid van Nederlandse iTunes- en iCloudgebruikers te verbeteren. "Nee, ik ga geen specifieke stappen ondernemen. Ik vind het wel van belang om de algehele digitale veiligheid, dus niet alleen van iTunes- en iCloudgebruikers, te verhogen", zo stelt de minister in zijn antwoord. Hij wijst daarbij naar de tweede Nationale Cyber Security Strategie (NCSS-2) die vorig jaar oktober werd gepresenteerd.
Deze posting is gelocked. Reageren is niet meer mogelijk.