Logius verwijderde 13.000 DigiD-accounts in eerste maanden van 2021
Logius heeft in de eerste vier maanden van dit jaar meer dan 13.000 DigiD-accounts verwijderd om misbruik te voorkomen. Meer dan alle vier voorgaande jaren bij elkaar opgeteld, zo blijkt uit cijfers die de DigiD-aanbieder met Security.NL deelde. Het gaat onder andere om accounts waar criminelen door middel van malware, phishing en hergebruikte wachtwoorden toegang toe hebben gekregen.
Van 2017 tot en met 2020 werden in totaal 11.300 DigiD-accounts door Logius geblokkeerd. In de eerste vier maanden van dit jaar is de 13.000 al gepasseerd. "Binnen Logius is er een fraudeteam dat onder andere belast is met het verwijderen van DigiD-accounts. Het verwijderen van een DigiD gebeurt om verschillende redenen. In sommige gevallen wordt er preventief actie ondernomen, als er bijvoorbeeld signalen van misbruik zijn binnen gekomen. Ook worden er geregeld accounts verwijderd op het verzoek van de accounthouder zelf of om andere redenen", aldus een woordvoerder tegenover Security.NL.
"Het aantal phishingaanvallen waarbij een mail of sms uit naam van DigiD wordt verstuurd is nog steeds groot. Veelal wordt er op deze manier gevist naar de bankgegevens van iemand. Daarnaast zien we ook pogingen tot uitbuiting van accounts die bij datalek ken buitgemaakt zijn", laat de woordvoerder verder weten. Logius monitort haar systemen op credential stuffing-aanvallen, waarbij aanvallers proberen om door middel van hergebruikte wachtwoorden toegang tot accounts te krijgen. Dit jaar heeft Logius al tientallen DigiD-accounts naar aanleiding van een credential stuffing-aanval verwijderd.
Het komt ook geregeld voor dat er tijdens een opsporingsonderzoek DigiD-gegevens worden aangetroffen op servers van criminelen die via malware zijn gestolen. Deze accounts worden direct verwijderd en er wordt gecontroleerd of er mogelijk misbruik van de accounts is gemaakt. Volgens Logius is het criminelen meestal niet zo zeer te doen om de inloggegevens van DigiD, maar vooral om de bankgegevens van gebruikers.
In het geval van een gecompromitteerd en verwijderd account worden getroffen gebruikers via brief ingelicht. Er wordt dan uitgelegd waarom het account is verwijderd en hoe er een nieuw account kan worden aangevraagd. Wanneer de inloggegevens mogelijk via malware zijn gestolen staan er ook tips om de computer op te schonen.
Naast gecompromitteerde accounts verwijdert Logius ook DigiD-accounts waarvan de houder een nieuw account heeft aangevraagd. Het oude account wordt dan na drie jaar verwijderd. Daarnaast heeft Logius sinds de start van de coronapandemie al meer dan 2500 DigiD-phishingsites offline laten halen.
Doen hoor! Dit helpt nog beter als een smartphone app met verbeterde beveiliging.
En uit https://www.digid.nl/veiligheid/misbruik-van-uw-gegevens:
Iemand misbruikt uw DigiD
Heeft iemand uw DigiD-inloggegevens in handen? Dan kunnen zij bijvoorbeeld uw persoonlijke gegevens wijzigen bij de overheid. Maakt iemand misbruik van uw DigiD, dan is dit identiteitsfraude.
Kunt u nog inloggen? Wijzig dan zo snel mogelijk uw wachtwoord.
Kunt u niet meer inloggen? Neem dan direct de volgende stappen:
- verzamel bewijsmateriaal
- meld misbruik van uw DigiD via de DigiD Helpdesk en vraag hun om uw account op te schorten
- doe aangifte van misbruik bij de politie
Ook als u alleen maar een vermoeden hebt van misbruik, is het verstandig uw DigiD-wachtwoord te wijzigen of een geheel nieuwe DigiD aan te vragen.
[...]
En na "Kunt u nog inloggen?" lijkt het mij onverstandig om te stoppen na het wijzigen van het wachtwoord, want dat heeft weinig zin als het apparaat waar je dat op doet achteraf gecompromitteerd blijkt. Bovendien lijkt het me een goed idee om ook dan het misbruik bij Logius te melden, aangifte te doen en bewijsmateriaal te verzamelen.
maar het belangrijkste argument is om geen email of sms meer te gebruiken
wat in de zorgsector straks al van toepassing is,door het inloggen via de app
dus alleen de app,dus verplicht je smartphone gebruiken want die is immers
beter te controleren dan versleutelt email verkeer of sms.
The Matrix
En uit https://www.digid.nl/veiligheid/misbruik-van-uw-gegevens:
Iemand misbruikt uw DigiD
Heeft iemand uw DigiD-inloggegevens in handen? Dan kunnen zij bijvoorbeeld uw persoonlijke gegevens wijzigen bij de overheid. Maakt iemand misbruik van uw DigiD, dan is dit identiteitsfraude.
Kunt u nog inloggen? Wijzig dan zo snel mogelijk uw wachtwoord.
Kunt u niet meer inloggen? Neem dan direct de volgende stappen:
- verzamel bewijsmateriaal
- meld misbruik van uw DigiD via de DigiD Helpdesk en vraag hun om uw account op te schorten
- doe aangifte van misbruik bij de politie
Ook als u alleen maar een vermoeden hebt van misbruik, is het verstandig uw DigiD-wachtwoord te wijzigen of een geheel nieuwe DigiD aan te vragen.
[...]
En na "Kunt u nog inloggen?" lijkt het mij onverstandig om te stoppen na het wijzigen van het wachtwoord, want dat heeft weinig zin als het apparaat waar je dat op doet achteraf gecompromitteerd blijkt. Bovendien lijkt het me een goed idee om ook dan het misbruik bij Logius te melden, aangifte te doen en bewijsmateriaal te verzamelen.
Prioriteit TWEE is dat je bewijzen veilig stelt, want je moet later aangifte kunnen doen en bij de aangifte aanemelijk maken dat je DigiD is misbruikt.
Dan pas als laatste kun je aangifte doen.
De volgorde is dus:
1) Direct en meteen DigiD laten opschorten.
2) Verzamel al het bewijs wat je nodig hebt (print dit uit en maak kopieen)
3) Doe altijd aangifte bij de politie.
Als je 3) weglaat, is er geen officieel bewijs van een strafbaar feit en kan ook het Openbaar Ministerie geen onderzoek instellen. In een aantal gevallen kan je dan ook geen beroep doen op je verzekering (als je die zou hebben).
Zal dan dus meer zijn dan toegestaan, zwijgen lijkt hun de beste oplossing. Sowieso geef je als gebruiker hier geen toestemming voor. AVG geldt denk ik gewoon niet voor Logius...
Proactief WTF,
Ik heb twee keer dit jaar een nieuwe DigiD moeten aanvragen.
De reden van het verwijderen bleef vaag maar nu begrijp ik wel wat meer.
Zal dan dus meer zijn dan toegestaan, zwijgen lijkt hun de beste oplossing. Sowieso geef je als gebruiker hier geen toestemming voor. AVG geldt denk ik gewoon niet voor Logius...
Zeer terechte punten. Maar naast hier op dit forum klagen over Logius en/of DigiD zou je er goed aan doen om je bezwaren te uiten bij de betreffende portefeuillehouder van de door jou gekozen politieke partij. Alleen op die manier krijgen we deze issues onder de aandacht van de politiek. Ik heb inmiddels mijn beklag gedaan en kreeg waarempel nog een bericht terug van betreffende politicus.
Heb een officiele klacht tegen Logius wegens schenden van de wet AVG ingediend bij de AP, de Autoriteit Persoonsgegevens. Durf er op te wedden dat de AP de klacht afwijst.
Logius is onderdeel van het ministerie van Binnenlandse zaken, daar durft de AP gegarandeerd niet tegen op te treden. De AP houd zich alleen maar bezig met makkelijke kleine zaken.
Heb een officiele klacht tegen Logius wegens schenden van de wet AVG ingediend bij de AP, de Autoriteit Persoonsgegevens. Durf er op te wedden dat de AP de klacht afwijst.
Logius is onderdeel van het ministerie van Binnenlandse zaken, daar durft de AP gegarandeerd niet tegen op te treden. De AP houd zich alleen maar bezig met makkelijke kleine zaken.
Heb een officiele klacht tegen Logius wegens schenden van de wet AVG ingediend bij de AP, de Autoriteit Persoonsgegevens. Durf er op te wedden dat de AP de klacht afwijst.
Logius is onderdeel van het ministerie van Binnenlandse zaken, daar durft de AP gegarandeerd niet tegen op te treden. De AP houd zich alleen maar bezig met makkelijke kleine zaken.
Heb een officiele klacht tegen Logius wegens schenden van de wet AVG ingediend bij de AP, de Autoriteit Persoonsgegevens. Durf er op te wedden dat de AP de klacht afwijst.
Logius is onderdeel van het ministerie van Binnenlandse zaken, daar durft de AP gegarandeerd niet tegen op te treden. De AP houd zich alleen maar bezig met makkelijke kleine zaken.
Of het AP doet er niets mee, omdat de klacht ongegrond is?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
