Mededeling

Collapse
No announcement yet.

DigiD via lek in Nederlandse gemeentesites te stelen

Collapse
X
  •  
  • Filter
  • Tijd
  • Show
Clear All
new posts

  • DigiD via lek in Nederlandse gemeentesites te stelen

    DigiD via lek in Nederlandse gemeentesites te stelen

    In tientallen Nederlandse gemeentesites bevinden zich beveiligingslekken waardoor een aanvaller DigiD of andere persoonlijke gegevens kan stelen, zo laat een beveiligingsonderzoeker Security.NL weten. Zarco Zwier trof in 31 websites de mogelijkheid tot cross-site scripting aan, waardoor het mogelijk is om gegevens die tijdens de inlogsessie op de website beschikbaar zijn, te achterhalen en weg te sluizen. "Gevaarlijk is dit wanneer deze kwaadaardige URL's in reclamebanners worden verstopt om zo DigiD of andere persoonlijke gegevens van ingelogde bezoekers te verzamelen," aldus de onderzoeker.

    Ook is het mogelijk gebruikers over te halen een link te laten bezoeken om zo andere content weer te geven in de context van het domein van de gemeente, waardoor het voor een nietsvermoedende gebruiker op een authentiek bericht van de gemeente lijkt. De gegevens in de database van de websites waren in de meeste gevallen niet toegankelijk, alhoewel hij op één website een SQL-query met geïnjecteerde code terugkreeg.

    De kwetsbare gemeenten werden een maand geleden ingelicht, maar Zwier ontving pas van negen gemeenten een reactie. Het probleem wordt in de meeste gevallen veroorzaakt doordat er een ongepatcht CMS in gebruik is. Zwier ontdekte dat er vier typen URL's zijn, wat waarschijnlijk betekent dat er minimaal vier CMS-en worden gebruikt. Of de andere gemeenten gebruikmaken van een CMS of dat er iets op maat gemaakt is, kon hij niet zo zeggen. "Ik heb er namelijk maar twee avonden aan besteed."

    Mondje dicht

    De onderzoeker is inmiddels ook benaderd door de producent van één van de CMS-en. Hem werd gevraagd om met gepaste terughoudendheid informatie naar buiten te brengen, volgens Zwier omdat ze negatieve publiciteit willen voorkomen. "Dat is logisch, dat snap ik ook wel. Echter, daar er hier een maatschappelijk belang speelt, acht ik het van belang dat mensen hiervan op de hoogte worden gebracht." De producent die Zwier niet bij name wil noemen vroeg hem ook om in plaats van de gebruikers, voortaan de producent zelf in te lichten over gevonden kwetsbaarheden. Iets waar de onderzoeker zich wel in kon vinden.

    "Daar deze websites toch vrij belangrijk zijn voor de Nederlandse burger, acht ik het van belang dat de burgers worden geinformeerd over spelende problemen
    en dat overheden het belang inzien van het veilig maken en houden van hun digitale systemen. Als ik in twee avonden, na een zware werkdag 31 kwetsbare websites kan vinden, ga dan maar eens na wat internetcriminelen voor schade kunnen aanrichten," zo waarschuwt hij. De websites van onder andere Delft, Rotterdam, Schiedam, Leiden, Emmen, Almelo en Apeldoorn zijn lek.

    Security.nl
Sorry, you are not authorized to view this page
Working...
X