Door het beveiligingslek in Ruby on Rails zou het voor aanvallers mogelijk zijn geweest om een deel van de DigiD-database te stelen, zo heeft minister Plasterk tijdens het vragenuur in de Tweede Kamer laten weten. Hij benadrukt dat de kwetsbaarheid waardoor DigiD op 9 januari offline ging, in het onderliggende platform zat en niet in DigiD zelf. Vanwege de ernst werd besloten DigiD offline te halen.
"Bij dat besluit speelde ook de overweging mee dat men voorzag dat het mogelijk was om binnen enkele uren dat eventuele lek te dichten en die kwetsbaarheid te verhelpen. Dat is toen onmiddellijk ook breed gecommuniceerd zodat iedereen daarvan wist", aldus Plasterk. Via DigiD kunnen burgers zich bij allerlei overheidsdiensten authenticieren.
"Het is inderdaad gelukt om diezelfde dag nog, eerder dan gepland overigens, DigiD weer in de lucht te brengen, waardoor mensen maar een aantal uren storing hebben ervaren." Volgens de minister is er geen enkele reden om te denken dat kwaadwillenden van het lek in het DigiD-platform misbruik hebben gemaakt.
Preventief
"Het was uitsluitend preventief. Ik denk dat er direct en adequaat is ingegrepen. Als dat iets illustreert, is het wel dat er voldoende waakzaamheid is om ervoor te zorgen dat DigiD veilig genoeg is. Nogmaals, er zijn geen gegevens opgehaald voor zover men dat kan achterhalen."
Er zou nog wel een onderzoek lopen om dit definitief te bevestigen. Plasterk krijgt daar deze week het laatste uitsluitsel van. Laat ik toezeggen dat ik daarvan een afschrift naar de Kamer zal sturen. Ik denk dat het goed werkt. Is het onberispelijk? Niets in het leven is helemaal onberispelijk, maar ik denk dat het zo goed is als kan."
Twijfel
Ondanks het beveiligingslek heeft Plasterk naar eigen zeggen geen reden om te twijfelen aan de degelijkheid van DigiD. "Ik ben er dus niet aan toe om DigiD te gaan heroverwegen. Dat signaal zou ik hier helemaal niet willen geven. Nogmaals, er is geen sprake van een lek. Er heeft niets gelekt."
De minister spreekt van een potentieel lek dat onmiddellijk is gedicht. "Men ziet daar dus op toe. Het blijft een ratrace tussen mensen die beveiligen en mensen die proberen door die beveiliging heen te komen. En die is ook deze keer gewonnen door DigiD."
Deze posting is gelocked. Reageren is niet meer mogelijk.