image

CBP: beveiliging DigiD moet worden aangescherpt

donderdag 8 oktober 2015, 10:18 door Redactie, 16 reacties

De beveiliging van DigiD moet worden aangescherpt, omdat erin verschillende situaties misbruik van de inloggegevens kan worden gemaakt, zo stelt het College bescherming persoonsgegevens (CBP). Uit onderzoek van het CBP blijkt dat duizenden DigiD-gebruikers hebben geprobeerd in te loggen bij het reclamebureau Digi-D in de veronderstelling dat zij te maken hadden met de overheidsvoorziening DigiD.

Hierbij hebben zij hun inloggegevens bij het reclamebureau achtergelaten. Het reclamebureau bleek van meer dan 8500 DigiD-accounts zowel de gebruikersnamen als wachtwoorden te hebben opgeslagen nadat DigiD-gebruikers hadden geprobeerd in te loggen op de site van het reclamebureau. Het risico bestond dat derden misbruik zouden maken van persoonsgegevens die via de DigiD-inloggegevens toegankelijk zijn.

Maatregelen

Zowel het reclamebureau als de beheerder van de overheidsdienst DigiD, Logius, hebben maatregelen genomen waardoor het veiligheidsrisico rond deze specifieke situatie is weggenomen. Het reclamebureau heeft naar aanleiding van het onderzoek van het CBP het loggen van de wachtwoorden gestaakt, waardoor het niet meer mogelijk is dat onbevoegden de beschikking krijgen over complete DigiD-inloggegevens. De beheerder van DigiD, Logius, heeft de accounts van de gebruikers van wie de DigiD-inloggegevens bij het reclamebureau waren opgeslagen, geblokkeerd en de betrokken mensen geïnformeerd.

Tegelijkertijd stelt het CBP dat mogelijk in andere situaties misbruik kan worden gemaakt van DigiD-inloggegevens. Het beveiligingsniveau van DigiD zou daarom moeten worden aangepast, aldus de toezichthouder. Het CBP heeft het verantwoordelijke ministerie van Binnenlandse Zaken (BZK) hierop gewezen en om een nadere toelichting op het huidige beveiligingsniveau van DigiD gevraagd.

Beveiligingsrisico DigiD

Volgens het CBP valt bij de huidige staat van de beveiligingssituatie niet uit te sluiten dat onbevoegden DigiD-inloggegevens van gebruikers achterhalen, bijvoorbeeld door middel van phishing. Zo kunnen onbevoegden misbruik maken van allerlei gevoelige gegevens die toegankelijk zijn met DigiD. Bijvoorbeeld van belastinggegevens of aanvraaggegevens bij de gemeente voor een persoonsgebonden budget.

Om dit te voorkomen is een extra veiligheidsvoorziening noodzakelijk, zo stelt de toezichthouder. "Dit zou verplicht moeten worden voorgeschreven aan de instanties die zijn aangesloten bij DigiD. Daarbij kan gedacht worden aan de eis van een code via sms naast de gebruikelijke inloggegevens als gebruikersnaam en wachtwoord."

Reacties (16)
08-10-2015, 10:56 door Anoniem
Men wilde dat toen niet want net na de uitrol, nu niet want geld, nooit niet want moeilijk nadenken is moeilijk

En succes ermee, jonge. jawa.

ex-'DEVOPS' - bedrijf(je) waar digid is ontwikkeld ( ondertussen in buitenlandse handen )
08-10-2015, 11:01 door Anoniem
Als zelft het CBP al vindt dat het slecht gesteld is met de beveiliging, dan moet het wel heel bar zijn...
08-10-2015, 11:44 door Fwiffo
Één invoer veldje extra op de phishing pagina, en dezelfde DigiD gebruikers voeren ook hun ontvangen SMS-code in. Daartegenover staat dat iedereen die belastingplichtig is straks een mobiel moet aanschaffen (en op tijd verlengen/opwaarderen, dus ook als de mobiel verder niet gebruikt wordt).

De overheid moet eens opschieten met het eID, daar verwacht ik veel meer van! De banken kunnen het toch ook, waarom de overheid dan niet.. Stop het in je identiteitskaart en zorg dat ook het ov er mee werkt, of vraag ik nu te veel?
08-10-2015, 12:03 door Ron625
Dan te bedenken, dat er al maanden geleden een test is gestart met de opvolger van DigiD.
Volgens mij bestaat (de huidige) DigiD over een jaar niet meer.........
08-10-2015, 12:17 door Anoniem
Door Fwiffo:Daartegenover staat dat iedereen die belastingplichtig is straks een mobiel moet aanschaffen (en op tijd verlengen/opwaarderen, dus ook als de mobiel verder niet gebruikt wordt).
Dat zal voor mij direct een reden zijn, om het DigiD te laten voor wat het is en mijn belastingaangifte voortaan weer schriftelijk te doen.
Kwestie van een halve dag vrij nemen, papiertjes in plastic tasje en het ambtenaartje mag het formuliertje invullen.
Ik communiceer niet digitaal met een overheid, die blijk heeft gegeven niet te snappen hoe dit veilig te gebruiken,
maar wel alles uit de kast haalt om ons te bespioneren.
08-10-2015, 12:49 door Anoniem
Groen slotje?

Als banken een duidelijk herkenbaar extra certificaat veilig slotje hebben?
Waarom vertikken ze dat dan bij digid nog steeds te implementeren?
Het is geen heilige graal maar zeker een stap vooruit bij wat het nu aan info oplevert.
You are connected to
digid.nl
which is run by
(unknown)

Unknown? Bij een bank staat tenminste de volledige naam voor het url adres en nog een keer expliciet vermeld onder de slot info.
Simpele basis informatie om te controleren en vertrouwen in de site te vergroten.

Bezuinigingsreden om niet voor iets dergelijks extra's te kiezen?
Waarom een bank wel en belangrijke overheidssites niet?
Dat is de vraag.
08-10-2015, 13:53 door Anoniem
De veiligheid van DigiD is al vaker ter discussie geweest. Een site met als inlogprocedure met alleen een Gebruikersnaam en Wachtwoord moet tegenwoordig al worden gerekend tot zwak beveiligde sites.
Voor een belangrijke site als DigiD moet je eigenlijk altijd een two-pass factor gebruiken, zodat je een extra veiligheids niveau toevoegt door het interactieve gebruik van een GSM of Smartphone.

De minister heeft de beveiliging niet heel erg serieus genomen omdat hij geen aanvullende maatregelen heeft getroffen om de Two-Factor toepassing nog steeds optioneel te houden.
Hopelijk komt daar na dit bericht toch snel verandering in. Door aan te tonen dat een Reclamebureau of Fishing site gemakkelijk DigiD-id's en Wachtwoorden kon loggen, mag je er wel van uit gaan dat dit niet de enige gelukte pogingen zijn.

Security blijft nog steeds een ondergeschoven kindje,ook voor de overheid.
08-10-2015, 14:30 door Profeet
Wat zeggen ze nou? 1 factor authenticatie volstaat niet meer bij belangrijke zaken? Hatsikidee ik ga wel naar het enge bos.

Het blijft mij verbazen waarom de overheid toch zo blijft klooien. Vingerafdrukken als wachtwoord willen gebruiken. Hopeloos achter blijven met 2 of 3 factor. Je zou bijna gaan denken dat de overheid juist wil dat fraude en misbruik mogelijk blijft. Hebben de (on)veiligheidsdiensten anders geen toegang meer ofzo?
08-10-2015, 15:14 door Anoniem
verplichten van 2fa is een excuus om burgers meer persoonsinfo af te troggelen en meer gegevens te kunnen koppelen
dat wordt dan verplicht een prepaid erbij aanschaffen voor digid en straks het nog meer gegevens verzamelende eid
08-10-2015, 15:49 door Anoniem
"Om dit te voorkomen is een extra veiligheidsvoorziening noodzakelijk, zo stelt de toezichthouder. "Dit zou verplicht moeten worden voorgeschreven aan de instanties die zijn aangesloten bij DigiD. Daarbij kan gedacht worden aan de eis van een code via sms naast de gebruikelijke inloggegevens als gebruikersnaam en wachtwoord."
Ben ik nou gek of had ik "altijd een verplichte SMS erbij" een jaar of wat geleden allang op de DigiD website ingesteld?
Dit ongeacht of een aangesloten instantie wel of niet een SMS-code vereist. (toch?)
08-10-2015, 16:09 door ph-cofi
Door Anoniem:
Ik communiceer niet digitaal met een overheid, die blijk heeft gegeven niet te snappen hoe dit veilig te gebruiken,
maar wel alles uit de kast haalt om ons te bespioneren.
Mooie samenvatting. Overigens denk ik dat men ons laat bespioneren, da's goedkoper...
Ik ben verbaasd dat geen strafrechtelijke stappen zijn gezet richting het digi-d reclamebureau. CPB aan de bal?
08-10-2015, 18:17 door Erik van Straten
08-10-2015, 16:09 door ph-cofi: Ik ben verbaasd dat geen strafrechtelijke stappen zijn gezet richting het digi-d reclamebureau.
Ik niet. Waarom zou de overheid, als die een willekeurige nieuwe naam verzint, het recht hebben om die naam van iemand anders te claimen? Stel jij hebt een website genaamd www.ph-cofi.nl en de overheid verzint een dienst genaamd ph-cofi?
Moet http://www.eid.nl/ haar domeinnaam dan ook maar inleveren?

Noem zo'n dienst https://digid.overheid.nl/, dat is toch uit te leggen?
Met https://cak.overheid.nl/ ben je ook af van stompzinnige namen als "hetcak.nl"

(voordat iemand roept dat het een stichting is en geen overheid, waarom vragen zij dan om mijn BSN nummer?)

Off topic, waarom kan ik via http (http://www.hetcak.nl/portalserver/portals/cak-portal/pages/x1-cak-vragen-formulier?webFormID=27002&NodeID=10749&UserGroupID=27) privacygevoelige gegevens (waaronder BSN) submitten op die site?

En waarom, als ik op https://www.overheid.nl/zoeken/ "cak" intik en op "zoek" klik, krijg ik de melding "The information you have entered on this page will be sent over an insecure connection and could be read by a third party"?
08-10-2015, 22:02 door ph-cofi
Door Erik van Straten: Ik niet. (...)
Jij hebt gelijk. digi-d lijkt helemaal niet op digid. En digi-d zit duidelijk niet te wachten op alle digid aanmeldingen. Ik had nog nooit op digi-d gekeken. Dat mensen op digi-d hun digid gegevens invoeren, geeft aan hoe onbekwaam ze zijn om een digid te hanteren. Dat belooft nog wat voor de opvolger.

Een subdomein onder overheid.nl is verstandig inderdaad.

Overigens is dat ph-cofi domein nog vrij :)
09-10-2015, 00:18 door Anoniem
Door Erik van Straten: Noem zo'n dienst https://digid.overheid.nl/, dat is toch uit te leggen?
Dat is niet alleen uit te leggen, het is wat mij betreft aanzienlijk duidelijker dan al die losse domeinen, en ik ben het roerend met je eens.

Maar de weerzin tegen subdomeinen is wijd versreid. Waarom heet gstatic.com niet static.google.com? Waarom heet ytimg.com niet img.youtube.com? Er lijkt een enorme weerstand te bestaan tegen het via een simpele hiërarchische notatie duidelijk te maken waar iets bij hoort. Ik vraag me al jaren af waarom. Ik krijg wel eens het idee dat een fors deel van de mensheid het eng vindt om duidelijk te zijn. Het lijkt verwant te zijn aan wollig taalgebruik, wat allerlei belangrijke functies heeft, zoals de indruk wekken dat je iets begrijpt of weet terwijl je het eigenlijk niet overziet, om te doen alsof je een afspraak hebt terwijl alle partijen die afspraak naar eigen goeddunken kunnen interpreteren, dat soort dingen. Misschien worden dat soort neigingen wel onbewust toegepast op de keuze van domeinnamen. Of misschien voelen mensen zich wel belangrijker als ze meer domeinnamen hebben geclaimd, dan is het een soort digitale territoriumdrift, en zijn domeinnamen een soort urinevlaggen. Ik pretendeer niet het te begrijpen, maar ik vind het wel jammer.
Met https://cak.overheid.nl/ ben je ook af van stompzinnige namen als "hetcak.nl"

(voordat iemand roept dat het een stichting is en geen overheid, waarom vragen zij dan om mijn BSN nummer?)
Semi-overheid, zo te zien, ze voeren taken uit voor het ministerie van Volksgezondheid, Welzijn en Sport. En naast de overheid zijn er meer organisaties die met BSN mogen of moeten werken. De hele volksgezondheid bijvoorbeeld, waar dit ook onder valt.

Als besloten is dat subdomeinen van overheid.nl voor overheidsorganisaties gebruikt worden valt CAK er net niet onder. Als besloten is dat het voor overheidstaken gebruikt wordt weer wel. Met cak.semioverheid.nl zou ik helemaal geen moeite hebben.
09-10-2015, 00:38 door Anoniem
En als ik nou geen mobiel heb voor 2fa.., krijg ik de code dan gewoon weer per post? :p
09-10-2015, 12:47 door Anoniem
Waarom zou een legitiem reclamebureau het überhaupt in zijn hoofd halen om username/wachtwoord combi's van falende logins te bewaren? Vreemde actie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.