Er zijn geen DigiD's gestolen via een lek in het contentmanagementsysteem (CMS) van verschillende gemeenten dat onlangs tijdens een uitzending van het televisieprogramma Opgelicht aan de orde kwam. Dat heeft minister Plasterk van Binnenlandse Zaken op Kamervragen laten weten.
In september van dit jaar ontving Logius, de partij die DigD voor de overheid beheert, een melding van een softwareleverancier dat er een lek in hun CMS bij twaalf gemeenten zat. Via de kwetsbaarheid had een aanvaller kwaadaardige code op de server kunnen installeren. Het lek werd volgens de leverancier binnen 24 uur na de ontdekking gedicht. Zowel de softwareleverancier als een IT-beveiligingsbedrijf voerden vervolgens een onderzoek uit, waaruit bleek dat er geen aanleiding was om aan te nemen dat er gegevens in verkeerde handen waren gevallen.
In opdracht van Logius werd er ook nog een onderzoek naar de oplossing van het lek uitgevoerd. Daarbij werd vastgesteld dat de kwetsbaarheid inderdaad door de oplossing was verholpen en niet meer op de getroffen systemen aanwezig is. Afrondend is ook onderzoek gedaan naar mogelijke aan deze kwetsbaarheid te relateren onregelmatigheden bij DigiD gebruik. Ook daar is geen reden gevonden te vrezen dat DigiD-gegevens in handen van derden zijn gevallen.
Plasterk reageert in zijn brief aan de Kamer ook op uitspraken van Erik Westhovens, die in de uitzending van Opgelicht als expert werd opgevoerd, dat DigiD een certificaat zou gebruiken dat niet aan de moderne beveiligingseisen zou voldoen. "Dat is niet juist. De in de uitzending getoonde cryptografie maakt geen onderdeel uit van het certificaat", aldus Plasterk. Het certificaat van DigiD maakt volgens de minister gebruik van het moderne en veilige algoritme SHA256 en niet zoals in de uitzending werd gesuggereerd het minder veilige SHA-1-algoritme.
Als laatste reageert Plasterk ook op verschillende slachtoffers van DigiD-fraude die in de uitzending aan het woord kwamen. Die gevallen waren volgens de minister geen gevolg van een fout of lek in DigiD, maar bijvoorbeeld van gebruik of misbruik van een DigiD-account door een (ex-) partner of als gevolg van phishing. "Uit de voorbeelden bleek hoe groot het risico is als inlogcodes in verkeerde handen vallen. Het is van groot belang dat mensen zorgvuldig met hun inloggegevens omgaan, geen phishing mails beantwoorden en zorgdragen voor een adequate virusscanner", aldus de minister.
Deze posting is gelocked. Reageren is niet meer mogelijk.