image

Plasterk: geen DigiD's gestolen via cms-lek bij gemeenten

dinsdag 4 november 2014, 14:18 door Redactie, 5 reacties

Er zijn geen DigiD's gestolen via een lek in het contentmanagementsysteem (CMS) van verschillende gemeenten dat onlangs tijdens een uitzending van het televisieprogramma Opgelicht aan de orde kwam. Dat heeft minister Plasterk van Binnenlandse Zaken op Kamervragen laten weten.

In september van dit jaar ontving Logius, de partij die DigD voor de overheid beheert, een melding van een softwareleverancier dat er een lek in hun CMS bij twaalf gemeenten zat. Via de kwetsbaarheid had een aanvaller kwaadaardige code op de server kunnen installeren. Het lek werd volgens de leverancier binnen 24 uur na de ontdekking gedicht. Zowel de softwareleverancier als een IT-beveiligingsbedrijf voerden vervolgens een onderzoek uit, waaruit bleek dat er geen aanleiding was om aan te nemen dat er gegevens in verkeerde handen waren gevallen.

In opdracht van Logius werd er ook nog een onderzoek naar de oplossing van het lek uitgevoerd. Daarbij werd vastgesteld dat de kwetsbaarheid inderdaad door de oplossing was verholpen en niet meer op de getroffen systemen aanwezig is. Afrondend is ook onderzoek gedaan naar mogelijke aan deze kwetsbaarheid te relateren onregelmatigheden bij DigiD gebruik. Ook daar is geen reden gevonden te vrezen dat DigiD-gegevens in handen van derden zijn gevallen.

Certificaat

Plasterk reageert in zijn brief aan de Kamer ook op uitspraken van Erik Westhovens, die in de uitzending van Opgelicht als expert werd opgevoerd, dat DigiD een certificaat zou gebruiken dat niet aan de moderne beveiligingseisen zou voldoen. "Dat is niet juist. De in de uitzending getoonde cryptografie maakt geen onderdeel uit van het certificaat", aldus Plasterk. Het certificaat van DigiD maakt volgens de minister gebruik van het moderne en veilige algoritme SHA256 en niet zoals in de uitzending werd gesuggereerd het minder veilige SHA-1-algoritme.

Virusscanner

Als laatste reageert Plasterk ook op verschillende slachtoffers van DigiD-fraude die in de uitzending aan het woord kwamen. Die gevallen waren volgens de minister geen gevolg van een fout of lek in DigiD, maar bijvoorbeeld van gebruik of misbruik van een DigiD-account door een (ex-) partner of als gevolg van phishing. "Uit de voorbeelden bleek hoe groot het risico is als inlogcodes in verkeerde handen vallen. Het is van groot belang dat mensen zorgvuldig met hun inloggegevens omgaan, geen phishing mails beantwoorden en zorgdragen voor een adequate virusscanner", aldus de minister.

Reacties (5)
04-11-2014, 16:16 door Anoniem
In de uitzending wordt de SHA1-fingerprint getoond en niet het signingalgoritme. De fingerprint wordt client-side bepaald en is dus geen onderdeel van het certificaat. Het signingalgoritme is SHA-256 met RSA.
04-11-2014, 18:51 door didrix - Bijgewerkt: 04-11-2014, 18:59
Door Anoniem: In de uitzending wordt de SHA1-fingerprint getoond en niet het signingalgoritme. De fingerprint wordt client-side bepaald en is dus geen onderdeel van het certificaat. Het signingalgoritme is SHA-256 met RSA.
Klopt, het certificaat is nou net ongeveer het enige wat klopt aan digid.nl.

- Geen forward secrecy
- RC4
- Cipher suite die gebruikt werd toen Jesus Christus nog op aarde liep.
- Zwakste algoritme eerst, sterkste als laatste.
RSA+RC4+SHA1 <- iedereen gebruikt dus dit (behalve IE11)
RSA+AES128-CBC+SHA1
RSA+AES256-CBC+SHA1
RSA+3DES-EDE-CBC+SHA1
RSA+AES128-CBC+SHA256
RSA+AES256-CBC+SHA256
04-11-2014, 23:14 door Anoniem
In het bericht van vorige week was ook al duidelijk dat er veel niet klopte aan de uitzending van opgelicht en het verhaal daar.
05-11-2014, 03:23 door Anoniem
Afgelopen avond ging Opgelicht nog een keer kort over het onderwerp. Opgelicht vind het nog steeds niet duidelijk welke gemeenten nu lek waren en heeft kennelijk alle gemeenten aangeschreven. Of ze mee willen werken aan een onafhankelijk onderzoek naar de kwetsbaarheid van hun systeem. Met andere woorden: bij Opgelicht weten ze waarschijnlijk niet meer wie ze moeten geloven, die onderzoeker of de gemeenten, en dus willen ze een onderzoek bij de gemeenten.
05-11-2014, 09:10 door Anoniem
Door Anoniem: Afgelopen avond ging Opgelicht nog een keer kort over het onderwerp. Opgelicht vind het nog steeds niet duidelijk welke gemeenten nu lek waren en heeft kennelijk alle gemeenten aangeschreven. Of ze mee willen werken aan een onafhankelijk onderzoek naar de kwetsbaarheid van hun systeem. Met andere woorden: bij Opgelicht weten ze waarschijnlijk niet meer wie ze moeten geloven, die onderzoeker of de gemeenten, en dus willen ze een onderzoek bij de gemeenten.
Schandalig dat ze niet de gelegenheid gebruikten om te vertellen dat hun deskundige achteraf een blaaskaak bleek te
zijn. Eigen fouten toegeven mag best hoor.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.