Plasterk: er was geen lek in DigiD

News Broadband Netherlands 7 NOV 2014
Plasterk: er was geen lek in DigiD

Er is nooit een lek geweest in het digitale handtekeningensysteem van de overheid, DigiD. Dat stelt Ronald Plasterk, minister van Binnenlandse Zaken, in reactie op vragen van Tweede Kamerleden Mei Li Vos en Astrid Oosenbrug (beiden PvdA). De twee Kamerleden wilden van Pasterk opheldering over het DigiD-lek dat in oktober door tv-programma Opgelicht?! gemeld werd. Bij 24 gemeenten zouden eenvoudig te kraken standaard wachtwoorden gebruikt worden voor netwerkbeveiliging. Bij 12 gemeenten en 2 overheidsinstanties zou daardoor eenvoudig DigiD-accounts toegankelijk zijn. Logius, verantwoordelijk voor onder meer het beheer van DigiD, stelde dat voor zover bekend er nooit DigiD-accounts gehackt zijn. Het ging om een half miljoen tot één miljoen accounts.

Plasterk schrijft nu in zijn Kamerbrief dat er geen lek was. Wel kreeg Logius op 25 september van een softwareleverancier melding van een kwetsbaarheid in een specifieke versie van hun ContentManagementSysteem (CMS). Na onderzoek van Logius bleek bij 12 gemeenten de koppeling van het betreffende CMS met DigiD zodanig te zijn opgebouwd dat er een potentieel risico bestond dat DigiD misbruikt kon worden. Hackers zouden deze kwetsbaarheid hebben kunnen misbruiken om kwaadaardige software te plaatsen en daarmee in theorie de mogelijkheid hebben om allerlei gegevens en handelingen van bezoekers aan betreffende gemeentesites af te vangen.

Plasterk stelt dat het aan de gemeenten zelf was om te bepalen of ze naar buiten kwamen met dit nieuws en niet aan Logius, dat om die reden de namen van de betrokken gemeenten en andere overheidsinstanties niet heeft genoemd. De kwetsbaarheid werd op 18 september ontdekt, daarna is er bij alle betrokken partijen een patch toegepast om de kwetsbaarheid weg te halen.

Uit onderzoek bleek verder dat er nergens sprake zou zijn geweest van onregelmatigheden in DigiD-gebruik die aan een mogelijke hack te wijten zouden zijn. In de uitzending van Opgelicht?! werd verder gesteld dat DigiD gebruik zou maken van een certificaat dat niet zou voldoen aan de moderne beveiligingseisen. Plasterk noemt dit 'onjuist'. Het certificaat van DigiD maakt gebruik van het moderne en veilige algoritme SHA256 en niet zoals in de uitzending werd gesuggereerd het minder veilige SHA1 algoritme. Voor de minister vormen de gebeurtenissen geen reden om het decentrale beheer van digitale systemen te heroverwegen. 

Categorieën:

Internet

Landen:

Netherlands

Tags:

Government telecommunications licensing, Security, Government policy

Gerelateerde artikelen

NETHERLANDS 20 MEI 2015

Rekenkamer: beveiliging DigiD nog altijd onvoldoende

De beveiliging van DigiD is nog steeds niet afdoende. Dat constateert de Rekenkamer in een verantwoordingsonderzoek naar de maatregelen die het ministerie van Binnenlandse zaken heeft getroffen om de veiligheid van de digitale handtekening van Nederlandse burgers te verbeteren. De digitale identiteit van DigiD wordt steeds vaker ingezet voor communicatie tussen burger en overheid. In 2014 nam BiZa maatregelen toen bleek dat de veiligheid van DigiD niet afdoende was. Volgens de Rekenkamer hebben deze maatreg

GLOBAL 22 JAN 2015

Trend Micro waarschuwt voor kwetsbaarheid Adobe Flash

Security-specialist Trend Micro waarschuwt voor een zero-day kwetsbaarheid in Adobe Flash. Het gaat om een kwetsbaarheid die door cybercriminelen zou worden misbruikt gebruikt via de Angler Exploit Kit en malvertisements. Angler is volgens Trend Micro één van de grootste Exploit Kits van 2014. De kwetsbaarheid is zeer toegankelijk en kan eenvoudig misbruikt worden voor meer aanvallen. Er is geen patch beschikbaar van Adobe, zo stelt Trend Micro in een blog. Een zero day kwetsbaarheid is een kwetsbaarheid in

NETHERLANDS 30 DEC 2014

'Falen DigiD leidt tot schadepost van 1 miljard per dag'

Bij het falen van DigiD kan de overheid per dag 1 miljard euro aan inkomsten mislopen, als daardoor het primaire proces van de Belastingdienst niet functioneert. Dat schrijft de Nationaal Commissaris Digitale Overheid Bas Eenhoorn op zijn blog. Volgens hem komt daar de maatschappelijke economische schade nog bij, die ontstaat als burgers geen of onjuiste toeslagen ontvangen en hun vertrouwen in de overheid verliezen. Eenhoorn waarschuwt ervoor dat DigiD op dit moment de enige identificatievoorziening is waa

NETHERLANDS 11 NOV 2014

Tweede Kamer wil falende gemeenten afsluiten van DigiD

De Tweede Kamer wil gemeenten die de beveiliging van DigiD niet op orde hebben tijdelijk afsluiten van gebruik ervan, zo meldt RTL Nieuws bij monde van D66-Kamerlid Kees Verhoeven. Het tv-programma Opgelicht meldde vorige maand dat de toegang tot de DigiD van een half miljoen tot één miljoen mensen vorig jaar wijd open lag, omdat 24 gemeenten de beveiliging niet op orde hadden. Hoewel dit onlangs door minister van Binnenlandse Zaken Ronald Plasterk is ontkent, wil een Kamermeerderheid dat hij hard optreed t

NETHERLANDS 31 OKT 2014

IBD: wachtwoordbeleid gemeenten op orde

De Informatiebeveiligingsdienst voor gemeenten (IBD) noemt de berichtgeving over DigiD-lekken bij een twaalftal Nederlandse gemeenten en twee overheidsinstanties 'stemmingmakerij'. Volgens de site Security.nl laat de IBD weten dat wachtwoorden en gebruikersnamen van DigiD-accounts helemaal niet eenvoudig via de ICT-systemen van de gemeenten te onderscheppen waren. Het tv-programma Opgelicht?! Meldde eerder deze week 24 gemeenten standaard wachtwoorden gebruikten voor beveiliging van hun systemen en program

NETHERLANDS 29 OKT 2014

'DigiD 1 miljoen Nederlanders eenvoudig te misbruiken'

Het afgelopen jaar lag de toegang tot de DigiD (de digitale toegangscode van burgers) van een half miljoen tot één miljoen mensen wijd open. Volgens overheidsorganisatie Logius, verantwoordelijk voor onder meer DigiD, is er voor zover bekend geen misbruik gemaakt van het lek in het netwerk van 12 gemeenten en twee overheidsinstanties. Het beveiligingsprobleem is inmiddels opgelost. In totaal waren de netwerken van 24 gemeenten sinds september 2013 te hacken omdat er eenvoudig te achterhalen standaardwachtwo

NETHERLANDS 17 OKT 2014

BZK treedt op tegen fraude met DigiD

Eind augustus heeft de overheid een operatie uitgevoerd tegen fraude met DigiD, schrijft minister Plasterk van BZK aan de Tweede Kamer. Systeembeheerder Logius, SVB en UWV hebben 5.000 DigiD adressen geïsoleerd en buiten werking gesteld, op de verdenking dat die onbevoegd gebruikt zijn. Bij 180 DigiD's zijn er concrete signalen gevonden van misbruik om uitkeringen en/of toeslagen te wijzigen en meteen uit te laten betalen. De bedragen worden dan meteen gepind van rekeningen van 'geldezels'. De omvang van di

Commentaar

14:35

Open Dutch Fiber met nieuw bestuur klaar voor nieuwe fase, maar is het voldoende?

08:43

Videomarkt komt tot rust en zal een groeivertraging laten zien

16:01

Paramount lijkt zijn bod op Warner Bros Discovery nog voor Kerst te verhogen maar of Netflix volgt, is onduidelijk - en er is een Plan B mogelijk

16:21

Netflix koopt Warner Bros uit gebrek aan een diepe catalogus

Achtergrond

14:23

Netflix met afstand grootste streamer, ook in Q3 2025

08:45

TP:Talks - NIBC Bank verschuift investeringsfocus naar datacenters

05:50

Afgelopen week in telecom: Wi-Fi-uitbreidingen zorgen voor groei, videomarkt op weg naar consolidatie

08:45

TP:Talks - Cellnex verstevigt positie in Nederlandse markt voor zendmasten en datacenters

Aanvullen profiel

Alvorens de whitepaper te downloaden willen we vragen je profiel aan te vullen met bedrijf en functie. Na bevestigen ontvang je de whitepaper.